思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

思科交换机安全配置（包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制）网络拓扑图如下：根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：Router：e0：192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址：PC1：192.168.10.1PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping 通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

思科网络设备安全管理方案简介网络设备的安全管理是现代企业中非常重要的一项工作。

思科作为全球领先的网络设备供应商，提供了一系列的网络设备安全管理解决方案。

本文将介绍思科网络设备安全管理的基本原则、主要措施和常见工具。

基本原则在实施思科网络设备安全管理方案之前，我们首先需要明确一些基本原则。

1.身份验证：只有经过身份验证的用户才能获得访问网络设备的权限。

2.防火墙保护：在网络设备与外部网络之间设置防火墙，限制对设备的非授权访问。

3.访问控制：通过实施访问控制列表（ACL）和安全策略，控制对网络设备的访问和行为。

4.漏洞管理：及时修复网络设备中的漏洞，确保设备的安全性。

主要措施1. 设备身份管理思科网络设备安全管理方案的第一步是设备身份管理。

这包括以下几个方面：•设备认证：在设备上配置强密码，并定期更改密码以确保设备的安全。

•设备授权：通过设备授权机制，只允许经过授权的设备连接到网络。

•设备准入控制：使用802.1X等技术，确保只有通过身份验证的设备能够访问网络。

2. 数据加密数据加密是思科网络设备安全管理的关键措施之一。

它可以保护设备与其他设备之间的通信安全，防止数据被未经授权的人员截获和篡改。

思科提供了多种加密协议，如IPSec和SSL/TLS，可以在设备之间建立安全的加密通道。

除了设备之间的通信，思科还提供了对设备上存储的数据进行加密的功能，确保设备在遭到盗窃或非授权访问时不会泄露重要数据。

3. 内容过滤和防病毒为了保护网络设备免受恶意软件和网络攻击的侵害，思科网络设备安全管理方案提供了内容过滤和防病毒功能。

内容过滤技术可以检测和阻止设备上传输的恶意代码和未经授权的应用程序。

思科的网络防火墙设备可以配置内容过滤规则，对入站和出站的数据进行检查。

思科还提供了防病毒功能，可以对设备进行实时的病毒扫描和防护。

通过定期更新病毒库，确保设备能够及时识别和阻止最新的病毒威胁。

4. 安全审计和日志管理安全审计和日志管理是确保网络设备安全管理有效性的重要环节。

思科交换机的基本配置命令网络技术知识其实也是弱电里面的一个难点，这个一般是在大学课程里面才能详细的学习，今天小编带来的是交换机的基本配置命令。

一、基本配置命令switch>用户模式1：进入特权模式enableswitch>enableswitch#2：进入全局配置模式configureterminalswitch>enableswitch#configureterminalswitch(conf)#3：交换机命名hostnameaptech2950以aptech2950为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch-2950aptech2950(conf)#4：配置使能口令enablepasswordcisco以cisco为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablepasswordcisco5：配置使能密码enablesecretciscolab以cicsolab为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#enablesecretciscolab6：设置虚拟局域网vlan1interfacevlan1switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacevlan1aptech2950(conf-if)#ipaddress192.168.1.1255.255.255.0配置交换机端口ip和子网掩码aptech2950(conf-if)#noshut是配置处于运行中aptech2950(conf-if)#exitaptech2950(conf)#ipdefault-gateway192.168.254设置网关地址7：进入交换机某一端口interfacefasteher0/17以17端口为例switch>enableswitch#configureterminalswitch(conf)#hostnameaptch2950aptech2950(conf)#interfacefasteher0/17aptech2950(conf-if)#8：查看命令showswitch>enableswitch#showversion察看系统中的所有版本信息showinterfacevlan1查看交换机有关ip协议的配置信息showrunning-configure查看交换机当前起作用的配置信息showinterfacefastether0/1察看交换机1接口具体配置和统计信息showmac-address-table查看mac地址表showmac-address-tableaging-time查看mac地址表自动老化时间9：交换机恢复出厂默认恢复命令switch>enableswitch#erasestartup-configureswitch#reload10：双工模式设置switch>enableswitch#configureterminalswitch2950(conf)#hostnameaptch-2950aptech2950(conf)#interfacefasteher0/17以17端口为例aptech2950(conf-if)#duplexfull/half/auto有full,half,auto三个可选项11：cdp相关命令switch>enableswitch#showcdp查看设备的cdp全局配置信息showcdpinterfacefastether0/17查看17端口的cdp配置信息showcdptraffic查看有关cdp包的统计信息showcdpnerghbors列出与设备相连的cisco设备12：csico2950的密码恢复拔下交换机电源线。

《思科交换机安全配置基线》目录1概述 (1)1.1适用范围 (1)1.2术语和定义 (1)1.3符号和缩略语 (1)2思科交换机设备安全配置要求 (2)2.1账号管理、认证授权 (2)2.1.1账户 (2)2.1.2口令 (3)2.1.3认证 (4)2.2日志安全要求 (5)2.3IP协议安全要求 (7)2.3.1基本协议安全 (7)2.3.2SNMP协议安全 (9)2.4访问控制安全要求 (10)2.5V LAN安全要求 (14)2.6其他安全要求 (16)页号： 1 of 191概述1.1 适用范围本规范适用于思科交换机。

本规范明确了思科交换机安全配置方面的基本要求。

基线配置项中的“可选”项，可以根据具体系统和应用环境，选择是否遵守。

1.2 术语和定义BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。

1.3 符号和缩略语2思科交换机设备安全配置要求2.1账号管理、认证授权2.1.1账户编号：安全要求-设备-思科交换机-配置-1-可选编号：安全要求-设备-思科交换机-配置-22.1.2口令编号: 安全要求-设备-思科交换机-配置-3编号：安全要求-设备-思科交换机-配置-42.1.3认证编号：安全要求-设备-思科交换机-配置-5-可选2.2日志安全要求编号：安全要求-设备-思科交换机-配置-6-可选编号：安全要求-设备-思科交换机-配置-7-可选2.3IP协议安全要求2.3.1基本协议安全编号：安全要求-设备-思科交换机-配置-8-可选编号：安全要求-设备-思科交换机-配置-9-可选2.3.2SNMP协议安全编号：安全要求-设备-思科交换机-配置-10-可选2.4访问控制安全要求编号：安全要求-设备-思科交换机-配置-11编号：安全要求-设备-思科交换机-配置-12-可选编号：安全要求-设备-思科交换机-配置-13编号：安全要求-设备-思科交换机-配置-14编号：安全要求-设备-思科交换机-配置-15-可选安全要求-设备-思科交换机-配置-16-可选2.5Vlan安全要求安全要求-设备-思科交换机-配置-17-可选安全要求-设备-思科交换机-配置-18-可选2.6其他安全要求编号：安全要求-设备-思科交换机-配置-19安全要求-设备-思科交换机-配置-20。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

CISCO交换机AAA配置一、RADIUS相关配置【必要命令】全局模式switch(config)# aaa new-model注：启用AAA认证switch(config)# aaa authentication dot1x default group radius local注：启用AAA通过RADIUS服务器做认证switch(config)# aaa authorization network default group radius local注：启用AAA通过RADIUS服务器做授权switch(config)# dot1x system-auth-control注：开启全局dot1x控制switch(config)# dot1x guest-vlan supplicant注：允许dot1x验证失败后加入guestvlanswitch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456注：指定NPS服务器的ip地址、认证和授权端口、以及通信密码switch(config)# radius-server vsa send authentication注：允许交换机识别和使用IETF规定的VSA值，用于接受NPS 分配vlanswitch(config)# ip radius source-interface vlan 2注：当交换机有多个IP时，只允许该vlan段的IP作为发送给RADIUS服务器的IP地址端口模式switch(config)# interface FastEthernet0/10注：进入端口模式（批量端口配置命令：interface range FastEthernet0/1 - 48）switch(config-if)# switchport mode access注：端口配置dot1x前必须设置为access模式switch(config-if)# mab（IOS 12.2之前的版本命令：dot1x mac-auth-bypass）注：当dot1x验证超时后会以mac为用户名密码发起验证switch(config-if)# dot1x pae authenticator注：设置交换机的pae模式switch(config-if)# authentication port-control auto（IOS 12.2之前的版本命令：dot1x port-control auto）注：设置dot1x端口控制方式，auto为验证授权switch(config-if)# authentication event no-response action authorize vlan 3（IOS 12.2之前的版本命令：dot1x guest-vlan 3）注：NPS验证失败时放置的vlan【可选命令】全局模式switch(config)# radius-server retransmit 2注：交换机向RADIUS服务器发送报文的重传次数switch(config)# radius-server timeout 2注：交换机向RADIUS服务器发送报文的超时时间端口模式switch(config-if)# dot1x timeout tx-period 2注：交换机向dot1x端口定期多长时间发报文switch(config-if)# dot1x timeout supp-timeout 2注：交换机向客户端发送报文，客户端未回应，多长时间后重发switch(config-if)# dot1x timeout server-timeout 2注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发二、其他【必要命令】SNMP设置switch(config)# snmp-server community skylark RW注：用于管理交换机，接收交换机相关信息DHCP中继代理（在网关交换机上配置）switch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip helper-address 10.134.1.207注：设置DHCP地址，使不同vlan的客户端可以获取IP地址【可选命令】DHCP SNOOPINGswitch(config)# ip dhcp snooping注：开启全局DHCP SNOOPYING功能switch(config)# ip dhcp snooping vlan 2注：指定DHCP SNOOPYING范围switch(config)# interface g0/1注：进入接口（配置级联端口和连接DHCP服务器的端口为信任端口）switch(config-if)# ip dhcp snooping trust注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARDswitch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip verify source port-security注：动态绑定DHCP-SNOOPING表项，过滤掉其它数据(无port-security则只绑定ip，有port-security则是绑定ip+mac)相关命令show ip dhcp snooping bindingSTP生成树Switch(config-if)# spanning-tree portfast注：生成树的端口快速转发，更加快速从DHCP获取IP地址端口错误检测switch(config)# errdisable recovery cause all注：防止交换机端口因异常被关闭，恢复其正常状态switch(config)# errdisable recovery interval 30注：设置交换机端口故障关闭时间，过后关闭的端口自动打开。

Cisco路由器交换机安全配置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router 或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权 ...一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1. DDOS攻击2. 非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3.IP地址欺骗攻击….利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。

利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

以下是引用片段：Router(config-t)#no service fingerRouter(config-t)#no service padRouter(config-t)#no service udp-small-serversRouter(config-t)#no service tcp-small-serversRouter(config-t)#no ip http serverRouter(config-t)#no service ftpRouter(config-t)#no ip bootp server以上均已经配置。

防止ICMP-flooging攻击。

以下是引用片段：Router(config-t)#int e0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arpRouter(config-t)#int s0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arp以上均已经配置。