思科交换机安全

产品手册思科 Catalyst 9300 系列交换机专为安全性、物联网、移动性和云打造思科® Catalyst® 9300 系列交换机是思科专为安全性、物联网、移动性和云打造的主打堆叠式企业交换平台。

它们是业内部署最广泛的下一代交换平台。

Catalyst 9300 系列交换机是思科领先的企业架构 - 软件定义的接入 (SD-Access) 的基本组件。

它们以 480 Gbps 的带宽成为业界密度最高的堆叠带宽解决方案，具有最灵活的上行链路架构。

Catalyst 9300 系列是首批面向高密度第二代 802.11ac 技术进行优化的平台，刷新了网络规模的最大值。

该系列交换机还为支持未来的技术做好了准备，凭借 x86 CPU 架构和更多的内存，它们能够承载容器并在交换机内部本地运行第三方应用和脚本。

Catalyst 9300 系列面向思科 StackWise® 虚拟技术而设计，通过对具有状态切换的无中断转发 (NSF/SSO) 的支持，以堆叠式（低于 50 微秒）解决方案为恢复能力最强的架构提供灵活的部署。

恢复能力强、效率高的电源架构采用思科 StackPower®技术，可提供高密度思科通用型以太网供电（思科 UPOE®）和增强型以太网供电 (PoE+) 端口。

该系列交换机基于思科统一接入™数据平面 (UADP) 2.0 架构，不仅可以保护您的投资，还能扩大规模并提高吞吐量。

交换机采用可自行编程的开放式思科 IOS XE，这种现代操作系统可提供高级安全功能和物联网 (IoT) 融合。

软件定义接入的基础高级持续性安全威胁、物联网 (IoT) 设备的指数级增长、无处不在的移动性、云的采用，要应对所有这些趋势，必须采用一种集高级硬件和软件创新于一身的网络交换矩阵，在保护和简化客户网络的同时，使客户网络实现自动化。

这种网络交换矩阵的目标是通过加快业务服务的部署实现客户收入的增长。

怎么在思科模拟器上给交换机设置方法步骤1、首先找出一台2811类的路由器和一台2960类的交换机和3台pc，利用直通线使各个设备相互连接起来2、为交换机配置主机名，命令为SwitchenableSwitch#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname S13、为交换机配置密码，命令为：S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login4、配置交换机端口安全,配置命令是：S1(config)#int f0/1S1(config-if)#shutdownS1(config-if)#switch mode accessS1(config-if)#switch port-securitiy5、检查交换机的Mac地址表，命令是：S1#show mac-address-table6、查看端口安全的设置情况，用命令为：show port-security相关阅读：交换机工作原理过程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC 地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层广播，即冲突域;但它不能划分网络层广播，即广播域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会学习新的MAC地址，并把它添加入内部MAC地址表中。

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

• 51•随着网络规模扩大和拓扑结构的适当调整，IP地址更多的是以动态分配形式为主。

不过实际生活中存在许多的IP地址盗用、ARP 病毒攻击等现象，究其原因就是用户比较多、地理位置较为分散以及随机性太强，进而造成网络安全管理工作的巨大困扰。

本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。

21世纪以来，互联网技术日益更新，在为人们带来许多生活便利的同时，还隐藏着网络安全的隐患。

我们急需对网络安全情况引起重视，在享受网络的便利同时提高防范心理。

那么，如何解决这一安全问题呢？要始终坚持“安全第一，预防为主”的指导策略，做好前期防范工作和事中援救事宜，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力，最大限度地减少网络安全危机的发生及其不良后果。

1 网络安全日常管理日常管理是网络安全工作的基础，改进平时的管理，必须不断增强安全防范意识：网络管理员和所有员工都要高度重视网络安全，时刻保持警觉，决不松懈，共同为网络筑起一道“防护墙”。

其日常管理有以下基本规则。

（1）要确保内部局域网和外网严格执行物理隔离。

对局域网中的每一个用户来说，在进入到局域网之前，系统必须进行补丁下载，并且在进入到局域网之前对病毒进行杀毒。

每台PC都要经过实名认证，并将IP地址和MAC地址相关联。

（2）要安装杀毒软件：每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的，使用者在固定周期内进行软件升级和杀毒操作。

在紧急情况下，客户使用端口会被迫进行升级与杀毒操作。

（3）要做好密码设置工作：指定计算机设备，如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等，必须设置不同的登录密码，这一密码最好的设置是由数字、26个英文字母及标点符号构成，长度为12位数，定期删除和更换设备的登录密码。

产品手册思科 220 系列智能交换机以经济实惠的价格构建简单、安全、智能的企业网络在当今快节奏的业务环境中，进行包括网络基础设施在内的 IT 投资时，企业经营者变得愈发挑剔。

网络是提高企业工作效率的重要平台，而快速、可靠、安全的网络比以往更加重要，它可帮助您在竞争中保持不败并推动企业发展。

在预算有限的情况下，如何使您的资金实现最大价值变得尤其重要。

对于需要从网络交换机中获得高性能、安全性和可管理性的企业而言，完全管理型交换机是非常好的选择，但随之而来的往往是高昂的价格。

智能交换机可以较低的价格为不断拓展的企业提供适当的网络特性和功能，从而让您将更多的资金投资于最需要的地方。

图 1. 思科 220 系列智能交换机思科 220 系列智能交换机思科® 220 系列是思科中小企业产品组合的一部分，该系列经济实惠型智能交换机具备安全性、高性能和易用性，可帮助在有限预算范围内构建可靠的企业网络。

这些交换机具备有限终身保修服务，以低于完全管理型交换机的成本提供强大的功能组合。

思科 220 系列包括各种智能交换机型号，提供具有增强型以太网供电 (PoE+) 选项的高速以太网和千兆以太网接入。

凭借直观的 Web 界面、节能技术和丰富的可定制功能，这些交换机不仅能提高您企业当前的工作效率，而且还能满足未来不断演变的网络需求。

业务应用采用思科 220 系列交换机，您不仅能构建高效且可靠的网络来连接员工，还可以构建高级解决方案来在融合基础设施上提供数据、语音和视频服务，从而通过提高员工工作效率来获得最大投资价值。

可以提供的部署方案包括：●安全的桌面连接。

思科 220 系列交换机能够以快速可靠的方式在小型办公室员工之间，以及员工与他们使用的所有服务器、打印机和其他设备之间建立连接。

通过设备身份验证和访问控制功能，您可以维护关键业务信息的完整性，同时使您的员工保持连接和高效。

●灵活的无线连接。

思科 220 系列交换机具有 PoE+ 支持和全面的安全和服务质量 (QoS) 功能，为在网络中添加企业级无线网提供了坚实的基础。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。