思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

思科交换机安全配置（包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制）网络拓扑图如下：根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：Router：e0：192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址：PC1：192.168.10.1PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping 通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

思科网络设备安全管理方案简介网络设备的安全管理是现代企业中非常重要的一项工作。

思科作为全球领先的网络设备供应商，提供了一系列的网络设备安全管理解决方案。

本文将介绍思科网络设备安全管理的基本原则、主要措施和常见工具。

基本原则在实施思科网络设备安全管理方案之前，我们首先需要明确一些基本原则。

1.身份验证：只有经过身份验证的用户才能获得访问网络设备的权限。

2.防火墙保护：在网络设备与外部网络之间设置防火墙，限制对设备的非授权访问。

3.访问控制：通过实施访问控制列表（ACL）和安全策略，控制对网络设备的访问和行为。

4.漏洞管理：及时修复网络设备中的漏洞，确保设备的安全性。

主要措施1. 设备身份管理思科网络设备安全管理方案的第一步是设备身份管理。

这包括以下几个方面：•设备认证：在设备上配置强密码，并定期更改密码以确保设备的安全。

•设备授权：通过设备授权机制，只允许经过授权的设备连接到网络。

•设备准入控制：使用802.1X等技术，确保只有通过身份验证的设备能够访问网络。

2. 数据加密数据加密是思科网络设备安全管理的关键措施之一。

它可以保护设备与其他设备之间的通信安全，防止数据被未经授权的人员截获和篡改。

思科提供了多种加密协议，如IPSec和SSL/TLS，可以在设备之间建立安全的加密通道。

除了设备之间的通信，思科还提供了对设备上存储的数据进行加密的功能，确保设备在遭到盗窃或非授权访问时不会泄露重要数据。

3. 内容过滤和防病毒为了保护网络设备免受恶意软件和网络攻击的侵害，思科网络设备安全管理方案提供了内容过滤和防病毒功能。

内容过滤技术可以检测和阻止设备上传输的恶意代码和未经授权的应用程序。

思科的网络防火墙设备可以配置内容过滤规则，对入站和出站的数据进行检查。

思科还提供了防病毒功能，可以对设备进行实时的病毒扫描和防护。

通过定期更新病毒库，确保设备能够及时识别和阻止最新的病毒威胁。

4. 安全审计和日志管理安全审计和日志管理是确保网络设备安全管理有效性的重要环节。

思科交换机的基本配置命令网络技术知识其实也是弱电里面的一个难点，这个一般是在大学课程里面才能详细的学习，今天小编带来的是交换机的基本配置命令。

一、基本配置命令switch>用户模式1：进入特权模式enableswitch>enableswitch#2：进入全局配置模式configureterminalswitch>enableswitch#configureterminalswitch(conf)#3：交换机命名hostnameaptech2950以aptech2950为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch-2950aptech2950(conf)#4：配置使能口令enablepasswordcisco以cisco为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablepasswordcisco5：配置使能密码enablesecretciscolab以cicsolab为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablesecretciscolab6：设置虚拟局域网vlan1interfacevlan1switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacevlan1aptech2950(conf-if)#ipaddress192.168.1.1255.255.255.0配置交换机端口ip和子网掩码aptech2950(conf-if)#noshut是配置处于运行中aptech2950(conf-if)#exitaptech2950(conf)#ipdefault-gateway192.168.254设置网关地址7：进入交换机某一端口interfacefasteher0/17以17端口为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacefasteher0/17aptech2950(conf-if)#8：查看命令showswitch>enableswitch#showversion察看系统中的所有版本信息showinterfacevlan1查看交换机有关ip协议的配置信息showrunning-configure查看交换机当前起作用的配置信息showinterfacefastether0/1察看交换机1接口具体配置和统计信息showmac-address-table查看mac地址表showmac-address-tableaging-time查看mac地址表自动老化时间9：交换机恢复出厂默认恢复命令switch>enableswitch#erasestartup-configureswitch#reload10：双工模式设置switch>enableswitch#configureterminalswitch2950(conf)#hostnameaptch-2950aptech2950(conf)#interfacefasteher0/17以17端口为例aptech2950(conf-if)#duplexfull/half/auto有full,half,auto三个可选项11：cdp相关命令switch>enableswitch#showcdp查看设备的cdp全局配置信息showcdpinterfacefastether0/17查看17端口的cdp配置信息showcdptraffic查看有关cdp包的统计信息showcdpnerghbors列出与设备相连的cisco设备12：csico2950的密码恢复拔下交换机电源线。

《思科交换机安全配置基线》目录1概述 (1)1.1适用范围 (1)1.2术语和定义 (1)1.3符号和缩略语 (1)2思科交换机设备安全配置要求 (2)2.1账号管理、认证授权 (2)2.1.1账户 (2)2.1.2口令 (3)2.1.3认证 (4)2.2日志安全要求 (5)2.3IP协议安全要求 (7)2.3.1基本协议安全 (7)2.3.2SNMP协议安全 (9)2.4访问控制安全要求 (10)2.5V LAN安全要求 (14)2.6其他安全要求 (16)页号： 1 of 191概述1.1 适用范围本规范适用于思科交换机。

本规范明确了思科交换机安全配置方面的基本要求。

基线配置项中的“可选”项，可以根据具体系统和应用环境，选择是否遵守。

1.2 术语和定义BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。

1.3 符号和缩略语2思科交换机设备安全配置要求2.1账号管理、认证授权2.1.1账户编号：安全要求-设备-思科交换机-配置-1-可选编号：安全要求-设备-思科交换机-配置-22.1.2口令编号: 安全要求-设备-思科交换机-配置-3编号：安全要求-设备-思科交换机-配置-42.1.3认证编号：安全要求-设备-思科交换机-配置-5-可选2.2日志安全要求编号：安全要求-设备-思科交换机-配置-6-可选编号：安全要求-设备-思科交换机-配置-7-可选2.3IP协议安全要求2.3.1基本协议安全编号：安全要求-设备-思科交换机-配置-8-可选编号：安全要求-设备-思科交换机-配置-9-可选2.3.2SNMP协议安全编号：安全要求-设备-思科交换机-配置-10-可选2.4访问控制安全要求编号：安全要求-设备-思科交换机-配置-11编号：安全要求-设备-思科交换机-配置-12-可选编号：安全要求-设备-思科交换机-配置-13编号：安全要求-设备-思科交换机-配置-14编号：安全要求-设备-思科交换机-配置-15-可选安全要求-设备-思科交换机-配置-16-可选2.5Vlan安全要求安全要求-设备-思科交换机-配置-17-可选安全要求-设备-思科交换机-配置-18-可选2.6其他安全要求编号：安全要求-设备-思科交换机-配置-19安全要求-设备-思科交换机-配置-20。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

CISCO交换机AAA配置一、RADIUS相关配置【必要命令】全局模式switch(config)# aaa new-model注：启用AAA认证switch(config)# aaa authentication dot1x default group radius local注：启用AAA通过RADIUS服务器做认证switch(config)# aaa authorization network default group radius local注：启用AAA通过RADIUS服务器做授权switch(config)# dot1x system-auth-control注：开启全局dot1x控制switch(config)# dot1x guest-vlan supplicant注：允许dot1x验证失败后加入guestvlanswitch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456注：指定NPS服务器的ip地址、认证和授权端口、以及通信密码switch(config)# radius-server vsa send authentication注：允许交换机识别和使用IETF规定的VSA值，用于接受NPS 分配vlanswitch(config)# ip radius source-interface vlan 2注：当交换机有多个IP时，只允许该vlan段的IP作为发送给RADIUS服务器的IP地址端口模式switch(config)# interface FastEthernet0/10注：进入端口模式（批量端口配置命令：interface range FastEthernet0/1 - 48）switch(config-if)# switchport mode access注：端口配置dot1x前必须设置为access模式switch(config-if)# mab（IOS 12.2之前的版本命令：dot1x mac-auth-bypass）注：当dot1x验证超时后会以mac为用户名密码发起验证switch(config-if)# dot1x pae authenticator注：设置交换机的pae模式switch(config-if)# authentication port-control auto（IOS 12.2之前的版本命令：dot1x port-control auto）注：设置dot1x端口控制方式，auto为验证授权switch(config-if)# authentication event no-response action authorize vlan 3（IOS 12.2之前的版本命令：dot1x guest-vlan 3）注：NPS验证失败时放置的vlan【可选命令】全局模式switch(config)# radius-server retransmit 2注：交换机向RADIUS服务器发送报文的重传次数switch(config)# radius-server timeout 2注：交换机向RADIUS服务器发送报文的超时时间端口模式switch(config-if)# dot1x timeout tx-period 2注：交换机向dot1x端口定期多长时间发报文switch(config-if)# dot1x timeout supp-timeout 2注：交换机向客户端发送报文，客户端未回应，多长时间后重发switch(config-if)# dot1x timeout server-timeout 2注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发二、其他【必要命令】SNMP设置switch(config)# snmp-server community skylark RW注：用于管理交换机，接收交换机相关信息DHCP中继代理（在网关交换机上配置）switch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip helper-address 10.134.1.207注：设置DHCP地址，使不同vlan的客户端可以获取IP地址【可选命令】DHCP SNOOPINGswitch(config)# ip dhcp snooping注：开启全局DHCP SNOOPYING功能switch(config)# ip dhcp snooping vlan 2注：指定DHCP SNOOPYING范围switch(config)# interface g0/1注：进入接口（配置级联端口和连接DHCP服务器的端口为信任端口）switch(config-if)# ip dhcp snooping trust注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARDswitch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip verify source port-security注：动态绑定DHCP-SNOOPING表项，过滤掉其它数据(无port-security则只绑定ip，有port-security则是绑定ip+mac)相关命令show ip dhcp snooping bindingSTP生成树Switch(config-if)# spanning-tree portfast注：生成树的端口快速转发，更加快速从DHCP获取IP地址端口错误检测switch(config)# errdisable recovery cause all注：防止交换机端口因异常被关闭，恢复其正常状态switch(config)# errdisable recovery interval 30注：设置交换机端口故障关闭时间，过后关闭的端口自动打开。

Cisco路由器交换机安全配置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router 或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权 ...一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1. DDOS攻击2. 非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3.IP地址欺骗攻击….利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。

利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

以下是引用片段：Router(config-t)#no service fingerRouter(config-t)#no service padRouter(config-t)#no service udp-small-serversRouter(config-t)#no service tcp-small-serversRouter(config-t)#no ip http serverRouter(config-t)#no service ftpRouter(config-t)#no ip bootp server以上均已经配置。

防止ICMP-flooging攻击。

以下是引用片段：Router(config-t)#int e0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arpRouter(config-t)#int s0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arp以上均已经配置。

CISCO交换机配置AAA、802.1X以及VACL（转）一启用AAA、禁用Telnet 以及启用ssh1.启用aaa身份验证，以进行SSH访问：Switch# conf tSwitch(config)# aaa new-model2.配置主机名Switch(config)# hostname sw13.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机sw1(config)# username cisco password cisco4.配置SSHsw1(config)# ipdomain-name sw1(config)# crypto key generate rsa5.配置交换机，使得只能通过SSH以带内方式访问交换机sw1(config)# line vty 0 15sw1(config-line)# transport input sshsw1(config-line)# exitsw1(config)# exit二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库sw1(config)# aaa authentication login TEST group radius linesw1(config)# line vty 0 15sw1(config-line)# login authentication TESTsw1(config-line)# exit三在接口上配置802.1x1.为radius身份验证启用802.1xsw1(config)# aaa authentication dot1x default group radius2.全局启用802.1xsw1(config)#dot1x system-auth-control3.在接口上配置802.1xsw1(config)# int range fa0/2 - 10sw1(config-if-range)# swtichport access vlan 10sw1(config-if-range)# dot1x port-control auto四配置vacl以丢弃所有通过tcp端口8889进入的桢1.配置一个acl，以判断数据包是否通过tcp端口8889进入：sw1(config)# access-list 100 permit tcp any any eq 88892.配置vlan访问映射表：sw1(config)# vlan access-map DROP_WORM 100sw1(config-access-map)# match ip address 100sw1(config-access-map)# action dropsw1(config-access-map)# exit3.将vlan访问表应用于合适的vlansw1(config)#vlan filter DROP_WORM vlan 10-20802.1x工程笔记在某网络测试时，工作笔记。

cisco交换机安全配置设定方法cisco交换机安全配置设定方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication 设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server 服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security 在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】【实验名称】交换机的端口安全配置。

【实验目的】掌握交换机的端口安全功能，控制用户的安全接入。

【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。

为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。

该主机连接在1台2126G 上边。

【技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。

交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。

限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。

交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。

可以实现对用户进行严格的控制。

保证用户的安全接入和防止常见的内网的网络攻击。

如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。

配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：⌝ protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。

⌝ restrict 当违例产生时，将发送一个Trap通知。

⌝ shutdown 当违例产生时，将关闭端口并发送一个Trap通知。

当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。

【实现功能】针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。

【实验设备】S2126G交换机（1台），PC（1台）、直连网线（1条）【实验拓扑】图 26【实验步骤】步骤1. 配置交换机端口的最大连接数限制。

中国移动公司--思科路由器安全配置规范S p e c i f i c a t i o n f o r C i s c o R o u t e rC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：2.０X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信有限公司网络部目录1范围 (1)2规范性引用文件 (1)2.1内部引用 (1)2.2外部引用 (2)3术语、定义和缩略语 (2)4思科路由器设备安全配置要求 (3)4.1直接引用《通用规范》的配置要求 (3)4.2账号管理、认证授权 (11)4.2.1账户 (11)4.2.2口令 (12)4.2.3授权 (13)4.2.4认证 (13)4.3日志安全要求 (14)4.4IP协议安全要求 (17)4.4.1基本协议安全 (17)4.4.2路由协议安全 (23)4.4.3SNMP协议安全 (27)4.4.4MPLS安全 (28)4.5其他安全要求 (29)5编制历史 (34)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。

本标准解释单位：同提出单位。

本标准主要起草人：刘金根、程晓鸣、陈敏时、周智、曹一生。

1范围本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。

本规范明确了思科路由器安全配置方面的基本要求。

2规范性引用文件2.1 内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的思科路由器安全配置要求。

cisco交换机安全配置设定你还在为不知道cisco交换机安全配置设定而烦恼么?接下来是小编为大家收集的cisco交换机安全配置设定教程，希望能帮到大家。

cisco交换机安全配置设定的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard 接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

目前大多数的企事业单位和部门连Internet网，通常都是一台路由器与ISP连结实现。

这台路由器就是沟通外部Internet和内部网络的桥梁，如果这台路由器能够合理进行安全设置，那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。

现在大多数的路由器都是Cisco公司的产品或与其功能近似，本文在这里就针对Cisco路由器的安全配置进行管理。

考虑到路由器的作用和位置，路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。

目前路由器（以Cisco为例）本身也都带有一定的安全功能，如访问列表、等，但是在缺省配置时，这些功能大多数都是关闭的。

需要进行手工配置。

怎样的配置才能最大的满足安全的需要，且不降低网络的性能？本文从以下几个部分分别加以说明：一. 口令管理口令是路由器是用来防止对于路由器的非授权访问的主要手段，是路由器本身安全的一部分。

最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上。

但是几乎每一个路由器都要有一个本地配置口令进行权限访问。

如何维护这部分的安全？1．使用enable secretenable secret 命令用于设定具有管理员权限的口令。

并且如果没有enable secret，则当一个口令是为控制台TTY设置的，这个口令也能用于远程访问。

这种情况是不希望的。

还有一点就是老的系统采用的是enable password，虽然功能相似，但是enable password采用的加密算法比较弱。

2．使用service password-encryption这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。

避免当配置文件被不怀好意者看见，从而获得这些数据的明文。

但是service password-encrypation 的加密算法是一个简单的维吉尼亚加密，很容易被破译。

这主要是针对enable password命令设置的口令。

而enable secret命令采用的是MD5算法，这种算法很难进行破译的。