思科交换机安全配置（包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制）

思科交换机安全配置（包括AAA,端口安全,ARP安全,DHCP
侦听,日志审计流量限制）
网络拓扑图如下：
根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：
Router：e0：192.168.1.1
Core：f0/1: 192.168.1.2
Svi接口：Core vlan10: 172.16.10.254
Vlan20: 172.16.20.254
Vlan30: 172.16.30.254
Access vlan10: 172.16.10.253
Vlan20: 172.16.20.253
Vlan30: 172.16.30.253
服务器IP地址：192.168.30.1
Office区域网段地址：
PC1：192.168.10.1
PC2：192.168.10.2
路由器清空配置命令：
en
erase startup-config
Reload
交换机清空配置命令：
en
erase startup-config
delete vlan.dat
Reload
加速命令：
en
conf t
no ip domain lookup
line con 0
exec-timeout 0 0
logging syn
hostname
一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；
1、基本配置
SW1的配置：
SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为client SW1(config)#vtp password sovand
SW1(config)#vtp mode server
SW1(config)#vlan 10
SW1(config)#int range f0/3,f0/4 //链路捆绑
SW1(config-if-range)#Channel-protocol pagp
SW1(config-if-range)#Channel-group 10 mode on
SW1(config)#int port-channel 10 //链路设置为trunk模式，封
装802.1q协议，三层交换机默认没有封装该协议
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW2配置：
SW2(config)#vtp domain cisco
SW2(config)#vtp password sovand
SW2(config)#vtp mode client
SW2(config)#int range f0/3,f0/4
SW2(config-if-range)#Channel-protocol pagp
SW2(config-if-range)#Channel-group 10 mode on
Creating a port-channel interface Port-channel 10
SW2(config)#int port-channel 10
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config)#int f0/1 //把f0/1,f0/2划入vlan10
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10
2、vlan acl
Office区域禁止PC机互访：
使用show int e0/0命令查看mac地址
SW2(config)#mac access-list extended macacl
SW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0
SW2(config)#vlan access-map vmap 10 //禁止pc间的通信
SW2(config-access-map)#match mac add macacl
SW2(config-access-map)#action drop
SW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping通svi口、网关
SW2(config-access-map)#action forward
SW2(config)#vlan filter vmap vlan-list 10
未使用VLAN ACL时pc1可以ping通pc2，如下图：
使用VLAN ACL时pc1可以无法ping通pc2，如下图：
3、Office区域静态配置ip地址时采用的ARP防护：
配置如下：
SW2(config)#ip arp inspection vlan 10
SW2(config)#arp access-list arplist
SW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac
地址对应表
SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20
SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10
SW2(config-if)#ip arp inspection trust
注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping 通svi口
4、OSPF与DHCP
全网起OSPF协议，使pc1可以ping通路由器。

其实全网没有起OSPF协议，PC机也是可以ping通路由器，此处发生了ARP代理。

起OSPF是为了DHCP地址的分配。

SW1(config)#ip routing //打开路由功能
SW1(config)#int f0/1
SW1(config-if)#no switchport //把二层接口转换为三层接口
SW1(config-if)#ip add 192.168.1.2 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#int f0/2
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.2.2 255.255.255.0
SW1(config-if)#no shut
SW1(config)#router ospf 1
SW1(config-router)#net
SW1(config-router)#network 192.168.1.0 0.0.0.255 a 0
SW1(config-router)#net 192.168.10.254 0.0.0.0 a 0
R(config)#router ospf 1
R(config-router)#net 192.168.1.0 0.0.0.255 a 0
配置DHCP：
Router(config)#ip dhcp 1
Router(dhcp-config)#network 192.168.10.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.10.254 //返回地址，本环境中指向vlan 20的svi接口地址。

Router(dhcp-config)#dns-server 8.8.8.8
Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 192.168.10.1 //去除一些地址
Router(config)#ip route 0.0.0.0 0.0.0.0 e0
然后在sw1中配置DHCP代理，代理下一跳地址为DHCP入接口，进入vlan 20配置svi接口，地址为192.168.20.254 注意：Router(config)#ip route 0.0.0.0 0.0.0.0 e0 //如果不想写这条，就必须要把关掉路由功能，不然pc机无法获取ip地址关掉路由功能命令为no ip routing.
然后在pc上进入接口，设置为DHCP获取地址,命令如下：
int f0/1
ip add dhcp
查看结果：
5、Student区域ARP防护：
SW2配置如下：
ip dhcp snooping //开启DHCP侦听
ip dhcp snooping vlan 20
int range f0/1,f0/2
ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5
ip verify source port-security
exit
int port-channel 10
ip dhcp snooping trust //设置信任端口
然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下：
pc1(config)#int e0/0
pc1(config-if)#mac-address 0007.8562.9de3
6、AAA认证：
服务器地址为：192.168.30.1
s1(config-vlan)#int vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为192.168.30.1，使他们位于同一个网段。

这样pc机发出的认证数据包就会被发往服务器
s1(config-if)#ip add 192.168.30.254 255.255.255.0
s1(config)#int f0/5
s1(config-if)#switchport mode access
s1(config-if)#switchport access vlan 30
s2(config)#int vlan 30
s2(config-if)#ip add 192.168.30.253 255.255.255.0
s2(config-if)#exit
s2(config)#aaa new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址
s2(config)#aaa authentication login vtylogin group radius
s2(config)#radius-server host 192.168.30.1 auth-port 1812 acct
s2(config)#$er host 192.168.30.1 auth-port 1812 acct-port 1813 key cisco //cisco为秘钥
s2(config)#line vty 0 4 //用户认证时使用虚拟链路
s2(config-line)#login authentication vtylogin
s2(config-line)#exit
s2(config)#dot1x system-auth-control
s2(config)#int f0/1 //进入端口，把端口配置为认证模式，即只有认证成功端口才会打开
s2(config-if)#authentication port-control auto
s2(config-if)#dot1x pae authenticator
在sw2上验证一些账号密码是否可用，如：123123 与aaa 111，结果如下：
二、在交换机上开启生成树安全机制，接入层交换机不能成为根，接入接口快速收敛；当OFFICE区域接口接入交换机后进入正常的生成树状态。

STUDENTS区域接口接入交换机后直接down；
1、查看sw1中vlan 10的生成树信息：
把sw2的优先级改为0（即最优先），命令如下：
s2(config)#spanning-tree vlan 10 priority 0
再次查看sw1中vlan 10的生成树信息，可以发现sw1已经不是根了
然后在sw1中配置根防护：
s1(config)#no spanning-tree vlan 1,10,20,30 root primary //设置为主根
s1(config)#int port-channel 10
s1(config-if)#spanning-tree guard root //根防护
可以看到sw1又成为根，并且sw1的根不会被抢占，即使sw2的优先级比较高。

快速端口：
s2(config)#int range f0/1,f0/2
spanning-tree portfast
2、BPDU防护：
s2(config)#int range f0/1,f0/2
s2(config-if-range)#spanning-tree bpduguard enable //交换机guard状态，收到bpdu数据包端口直接关掉
我们把f0/2接口从pc机中拔出，接入到交换机，会出现以下结果：
三、管理员可以安全管理和监控所有网络设备，并能查看时间可靠的日志信息；
1、telnet防护：
保证telnet协议传输的协议都是密文，即使被获取也无法解密
配置如下:
username cisco password sovand //新建用户名、密码
ip domain name cisco
crypto key generate rsa //导入RSA算法
line vty 0 4
transport input ssh //使用ssh加密
login local //使用本地用户名密码
2、SNMP监控：
SW1配置：
s1(config)#snmp-server host 192.168.30.1 set //日志存储地点s1(config)#snmp-server community set rw //权限为读写
s1(config)#snmp-server community get ro //权限为只读
SW2配置同上
四、管理员PC监控所有的出口流量，并且限制每个接入层接接口的广播包每秒不得超过100个。

SPAN:
对出口双向流量做映射到f0/4口：
s1(config)#monitor session 1 source int f0/1 both //镜像源端口，即监控端口
s1(config)#monitor session 1 destination int f0/2 //镜像备份端口，即镜像发往目标端口
限制每个接入层接接口的广播包每秒不得超过100个
对接入交换机端口限制广播包数量，超过100个则将接口down
掉：
s2(config)#int rangef0/1-4
s2(config-if-range)#storm-control broadcast level pps 100 50 //50是单低于50的时候就恢复s2(config-if-range)#storm-control action shutdown。