第4章 交换机安全配置交换机安全配置图文模板

验证配置 保存配置（可选）。
4.2.4 交换机端口安全
▪ 如果用户操作超出端口安全允许的操作范围，这种现象称 之为违例。
▪ 当违例产生时，有下面3种违例的处理模式： ➢ Protect：安全端口将丢弃未知名地址(不是该端口的 安全地址中的任何一个)的包 ➢ Restrict：交换机不但丢弃接收到的帧（MAC地址不在 安全地址表中），而且将发送一个SNMP Trap报文，给 网管 ➢ Shutdown：交换机将丢弃接收到的帧（MAC地址不在安 全地址表中），发送一个SNMP Trap报文，而且将端口 关闭。
▪ 欺骗攻击 - 攻击者窃取网络流量的一种办法是伪装有效DHCP服务 器发出的响应
▪ 欺骗攻击 -要防止 DHCP 攻击，请使用 Cisco Catalyst 交换 机上的 DHCP侦听和端口安全性功能。
▪ CDP 攻击 - 默认情况下，大多数 Cisco 路由器和交换机都启 用了CDP。建议如果设备不需要使用 CDP，则在设备 上禁用 CDP。
▪ Router(config)#enable password password ▪ Router(config)#enable secret password
▪ Router(config)#line vty 0 4 ▪ Router(config-line)#password password ▪ Router(config-line)#login
errdisable recovery
//6.x版本模拟器上无此指
令 ➢ 当端口由于违规操作而进入“err-disabled”状态后，必
须在全局模式下使用如下命令手工将其恢复为UP状态 Switch(conifg)# err➢di使sa用bleerrrdeicsoavbelrey rienctoevrevrayl命t令im后e 所有的违例端口都会被
➢ 显示所有接口的安全设置状态、违例处理等信息 Router#
show port-security address
Rout➢er来# 查看安全地址信息，显示安全地址及老化时间 show port-security
➢ 显示所有安全端口的统计信息，包括最大安全地址数，当 前安全地址数以及违例处理方式等
端口安全的配置 ▪ 在Cisco Catalyst交换机上配置端口安全性
缺省情况下，Cisco二层交换机针对广播的风暴控制功能均被关闭
。我们可以在交换机的接口模式下打开其广播的风暴控制开关。
接口配置模式下通过命令no storm-control broadcast level来
步骤 命令
含义
关闭接口相应的风暴控制功能。
步骤1 Switch# configure terminal
端口安全的配置配置处理违例的方式switchconifgifswitchportportsecurityswitchportportsecurityswitchconifgifswitchportportsecuritymaximumnumberswitchportportsecuritymaximumnumberswitchconifgifswitchportportsecurityviolation端口安全默认配置端口安全的配置配置安全端口上的安全地址当端口由于违规操作而进入errdisabled状态后必须在全局模式下使用如下命令手工将其恢复为up状态使用errdisablerecovery命令后所有的违例端口都会被恢复设置端口从errdisabled状态自动恢复所等待的时间switchconifgifswitchportaddressswitchportportsecuritymacaddressmacaddressipaddressipaddressswitchconifgerrdisablerecovery6xerrdisablerecovery6x版本模拟器上无此指令switchconifgerrdisablerecoveryintervalerrdisablerecoveryintervaltime配置端口安全使老化时间仅应用于动态学习到的安全地址switchconifgifswitchportportswitchportportsecurityagingstatictimetimeswitchportportswitchportportsecurityagingtimeswitchconifgifswitchportportswitchportportsecurityagingstatic查看端口安全信息显示所有安全端口的统计信息包括最大安全地址数当前安全地址数以及违例处理方式等routershowportsecurityinterfaceinterfaceidshowportsecurityinterfaceinterfaceidroutershowportsecurityaddressshowportsecurityaddressroutershowportsecurityshowportsecurity在ciscocatalyst交换机上配置端口安全性端口安全的配置验证端口安全性端口安全的配
4.1.6 配置特权等级
通过设置口令保护和划分特权级别来实现网络管理的灵活 性和安全性，是控制网络上的终端访问和管理交换机的最简单办 法。用户级别范围是0~15级，级别0是最低的级别。交换机设备系 统只有两个受口令保护的授权级别：普通用户级别（0级）和特权 用户级别（15级）。
用户模式只有Show的权限和其他一些基本命令；特权模式 拥有所有的权限，包括修改、删除配置。在实际情况下，如果给 一个管理人员分配用户模式权限，可能不能满足实际操作需求， 但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。 使用特权等级，可以定制多个等级特权模式，每一个模式拥有的
回到特权模式。
步骤5 Switch# sh storm-control broadcast
步骤6
Switch#copy running-config startupconfig
验证配置。 保存配置。(可选)
显示风暴控制使能状态
我们可以在特权模式下，通过show storm-control broadcast命 令来查看接口的风暴控制使能状态。
限制设备访问 —— 配置口令和使用标语
限制设备访问 —— 配置口令
▪ 加密显示口令 ▪ 它可在用户配置口令后使口令加密显示。service password-
encryption 命令对所有未加密的口令进行弱加密。当通过介 质发送口令时，此加密手段不适用，它仅适用于配置文件中 的口令。此命令的用途在于防止未经授权的人员查看配置文 件中的口令。 ▪ Router(config)# service password-encryption
将该接口设置为保护口
Switch(config-if)# no switchport 取消该接口的保护口 protected
Switch(config-if)# end
退回到特权模式。
Switch# show interfaces switchport
Switch# copy running-config startup-config
限制设备访问 —— 配置口令
▪ 请尽可能使用 enable secret 命令，而不要 使用较老版 本的 enable password 命令。enable secr设置的口令会被加密。 enable password 命令仅在尚未使用 enable secret 命令 设置口令时才能使用。
Switch (config)#username username privilege level password password
设置管理人员的登录用户名、密码和 相应的特权等级
Switch(config)# privilege mode level level command
设置命令的级别划分。
端口保护控制的配置步骤
步骤 步骤1 步骤2
步骤3
步骤4 步骤5 步骤6
命令 Switch# configure terminal
含义 进入全局配置模式。
Switch(config)# interface interface-id
选定一个接口，并进入接口 配置模式。
Switch(config-if)# switchport protected
第四章 交换机安全配置
培养目标
▪ 通过本章的学习，希望您能够： ➢ 掌握思科IOS的口令验证方式及配置 方法
➢ 掌握交换机端口安全原理及配置方法
管理配置Cisco IOS设备
限制设备访问 —— 配置口令
▪ 使用机柜和上锁的机架限制人员实际接触网络设备是不错 的做法
▪ 必须从本地为每台设备配置口令以限制访问。
端口安全的配置 ▪ 验证端口安全性
针对常见安全攻击
▪ 禁用未使用的端口 - 一种简单方法是禁用网络交换机上所有未使用的端 口，这样做可保护网络，使其免受未经授权的访问。
？Any Question
进入全局配置模式。
步骤2 Switch(config)#interface interface-id
Switch(config-if)#storm-control 步骤3 broadcast level
x
步骤4 Switch(config-if)#end
进入接口配置模式。
打开对广播风暴的控制功能，设置网 络风暴阀值，数值是按百分比算的， 如果你是百兆口，数值设为1，那就 代表1%
注意：一旦一条命令被赋予一个特权 等级，比该特权等级低的其他特权等 级均不能使用该命令。
4.2 交换机端口安全控制
准备知识（二） 常见针对交换机的安全攻击
▪ MAC地址泛洪
- 主机 A 向主机 B 发送流量。交换机收到帧，并在 其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧 并将其从每一个交换机端口广播出去。
4.2.4 端口保护控制
▪ 交换机的端口安全 ➢ 是工作在交换机二层端口上的一个安全特性 ➢ 只允许特定MAC地址的设备接入到网络中，从而防止用 户将非法或未授权的设备接入网络 ➢ 限制端口接入的设备数量，防止用户将过多的设备接 入到网络中
▪ 配置端口安全存在以下限制 ➢ 一个安全端口必须是一个Access端口，而非Trunk端口 ➢ 一个安全端口不能是一个聚合端口（Aggregate Port） ➢ 一个安全端口不能是镜像（SPAN）的目的端口。
端口安全的配置
Switch(conifg-if)# switchport port-security
➢ 打开该接口的端口安全功能 Switch(conifg-if)#
switchport port-security maximum number
Swit➢ch设(c置on接if口g-上if安)#全地址的最大个数 switchport port-security violation { protect | restrict | shutdown } ➢ 配置处理违例的方式
mode代表命令的模式，有：configure 表示全局配置模式、exec表示特权命 令模式、interface表示接口配置模式等 等。
level代表授权级别，范围从0到15。 level 1是普通用户级别， level 15是 特权用户级别，在各用户级别间切换 可以使用enable命令。
command代表要授权的命令。
Swi➢tc关h(闭co一ni个fg接-i口f)的# 安全地址老化功能（老化时间为0） no switchport port-security aging static
➢ 使老化时间仅应用于动态学习到的安全地址
查看端口安全信息
Router# show port-security interface [interface-id]
▪ MAC地址泛洪 - 攻击者使用交换机的正常操作特性来阻止交换机正 常工作。
▪ MAC地址泛洪
-只要网络攻击工具一直运行，交换机的 MAC 地址表 就会始终保持充满。当发生这种情况时，交换机开始 将所有收到的帧从每一个端口广播出去，这样一来， 从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。
▪ 在此介绍的口令有： ➢- 控制台口令 — 用于限制人员通过控制台连接访问 设备
➢- 使能口令 — 用于限制人员访问特权执行模式
限制设备访问 —— 配置口令
▪ Switch(config)#line console 0 ▪ Switch(config-line)#password password ▪ Switch(config-line)#login
▪ MAC地址泛洪 - 主机 B 收到帧并向主机 A 发送响应。交换机随后 获知主机 B 的 MAC 地址位于端口 2，并将该信息写 入 MAC 地址表。
- 主机 C 也收到从主机 A 发到主机 B 的帧，但是 因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢 弃该帧。
▪ MAC地址泛洪 - 由主机 A（或任何其它主机）发送给主机 B 的任 何帧都转发到交换机的端口 2，而不是从每一个端口 广播出去。
端口安全的配置 ▪ 端口安全默认配置
配置安全端口上的安全地址
Switch(conifg-if)# switchport port-security [mac-address mac-address [ip-
address ip-address]
➢ 配置安全端口上的安全地址 Switch(conifg)#
恢复
配置端口安全
Switch(conifg-if)# switchport port-security aging{static | time time }
➢ 配置安全地址的老化时间，时间过后地址更新 Switch(conifg-if)# no switchport port-security aging time
▪ telnet攻击的类型： -暴力密码攻击 - Dos攻击
▪ 抵御暴力密码攻击： -经常更改密码 -使用强密码 -限制可通过vty线路进行通信的人员
▪ 抵御暴力密码攻击：
4.2.1 风暴控制
在以太网网络中，广播数据是必然存在的，是一种正常的数 据。但是，有时候因为网络蠕虫病毒、攻击者或者网络错误的配置 等发送大量的广播，导致网络拥塞和报文传输超时，影响网络的正 常通信，因此需要通过交换机来发现和限定这种异常流量（风暴流 量）的发生，交换机将暂时禁止相应类型的包的转发直到数据流恢 复正常。