思科交换机安全(很全的详细配置、讲解)

cisco所有局域网缓解技术

交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN

端口和MAC绑定：port-security

基于DHCP的端口和IP,MAC绑定：ip source guard

基于DHCP的防止ARP攻击：DAI

防止DHCP攻击：DHCP Snooping

常用的方式：

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT 必须支持802.1X方式，如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能

Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方式，正常的通过认证和授权过程

强制授权方式：不通过认证，总是可用状态

强制不授权方式：实质上类似关闭了该接口，总是不可用

可选配置：

Switch(config)#interface fa0/3

Switch(config-if)#dot1x reauthentication

Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证

Switch#dot1x re-authenticate interface fa0/3//现在重新认证，注意：如果会话已经建立，此方式不断开会话

Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话

Switch(config)#interface fa0/3

Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求

Switch(config)#interface fa0/3

Switch(config-if)#dot1x timeout tx-period 90 //默认是30S

Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminal

Switch(config)#interface fastethernet0/3

Switch(config-if)#dot1x port-control auto

Switch(config-if)#dot1x host-mode multi-host//默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口

Switch#configure terminal

Switch(config)#dot1x guest-vlan supplicant

Switch(config)#interface fa0/3

Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性

//注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去

Switch(config)#interface fa0/3

Switch(config-if)#dot1x default //回到默认设置

show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression]

Switch#sho dot1x all

Dot1x Info for interface FastEthernet0/3

----------------------------------------------------

Supplicant MAC 0040.4513.075b

AuthSM State = AUTHENTICATED

BendSM State = IDLE

PortStatus = AUTHORIZED

MaxReq = 2

HostMode = Single

Port Control = Auto

QuietPeriod = 60 Seconds

Re-authentication = Enabled

ReAuthPeriod = 120 Seconds

ServerTimeout = 30 Seconds

SuppTimeout = 30 Seconds

TxPeriod = 30 Seconds

Guest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}

2、端口安全，解决CAM表溢出攻击（有种MACOF的工具，每分钟可以产生155000个MAC地址，去轰击CAM 表，从而使合法主机的要求都必须被FLOOD）

示例配置：

Switch#configure terminal

Switch(config)#interface fastethernet0/0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 20 //这里默认是1

Switch(config-if)#switchport port-security mac-address sticky//保存学习到的地址到RUN CONFIG文件中，避免手动配置的麻烦，并省去动态学习所消耗的资源

switchport port-security violation {protect | restrict | shutdown}

三个参数解释：

protect（保护）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，且不产生通知restrict（限制）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接丢弃，产生通知，如SNMP TRAP、SYSLOG信息，并增加违反记数；这里有个问题，恶意攻击会产生大量的类似信息，给网络带来不利。

shutdown（关闭）：当达到某个设定的MAC数量，后来的未知MAC不再解析，直接关闭该端口，除非手动

开启，或改变端口安全策略

端口安全需要全部手动配置，增加工作量，下面的两种方式

DHCP SNOOP

如网吧的管理员使用DHCP分配地址的时候执行IP和MAC地址的捆绑

Switch#configure terminal

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 34

Switch(config)#ip dhcp snooping information option

Switch(config)#interface fa0/0 //连接DHCP服务器的接口

Switch(config-if)#ip dhcp snooping limit rate 70

Switch(config-if)#ip dhcp snooping trust //指定该接口为信任接口，将获得DHCP服务器所分配的地址，其他接口所发生的DHCP行为将被否决

DAI

动态ARP审查，调用ACL和DHCP SNOOP的IP-TO-MAC数据库

Switch#configure terminal

Switch(config)#ip arp inspection filter //这里调用ACL注意，只能调用ARP ACL，该ACL优先与IP-TO-MAC表被审查，也就是说，即使有绑定项存在，如果被ARP-ACL拒绝，也不能通过

Switch(config)#ip arp inspection vlan 34

Switch(config)#interface fa0/0

Switch(config-if)#ip arp inspection trust //连接到DHCP服务器的接口，调用该接口上的DHCP SNOOP的IP-TO-MAC表，默认连接到主机的接口都是不信任的接口Switch(config-if)#ip arp inspection limit rate 20 burst interval 2//不信任接口限制为每秒14个ARP请求，信任接口默认不受限制，这里修改为每秒20

Switch(config-if)#exit

Switch(config)#ip arp inspection log-buffer entries 64//记录64条拒绝信息

注意：DHCP SNOOP只提供IP-TO-MAC绑定表，本身不参与流量策略，只是防止DHCP欺骗，而对任何IP和MAC欺骗是没有能力阻止的，但是它提供这样一张表给DAI调用，以防止MAC欺骗。

ip arp-inspection //仅仅对违规的ARP包进行过滤，不对IP包和其他包起作用。

ip source verify //会对绑定接口的IP或者IP+MAC进行限制

3、VACL

Configuring VACLs for Catalyst 6500 Traffic Capture

Router(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80

Router(config)# vlan access-map my_map

Router(config-access-map)# match ip address 110

Router(config-access-map)# action forward capture

Router(config)# vlan filter my_map 10-12,15

Router(config)# interface fa 5/7

Router(config-if) switchport capture allowed vlan 10-12, 15

cisco交换机配置实例(自己制作)

二层交换机配置案例（配置2层交换机可远程管理）： Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1

2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet

思科交换机安全 做 802.1X、port-security案例

端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping cisco所有局域网缓解技术都在这里了！ 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦 当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置： Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用

思科交换机配置维护手册

思科交换机配置维护手册

目录

一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式

思科基本配置命令详解

思科交换机基本配置实例讲解

目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................

1、基本概念介绍 IOS: 互联网操作系统，也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL：访问控制列表 三层交换机：具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置，在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍，一些具体的端口显示或许与你们实际的设备不符，但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2

思科交换机配置教程详解

思科交换机配置教程详解 你还在为不知道思科交换机配置教程详解而烦恼么?接下来是小编为大家收集的思科交换机配置教程详解教程，希望能帮到大家。 思科交换机配置教程详解的方法 1、基本概念介绍 IOS: 互联网操作系统，也是交换机和路由器中用的操作系统 VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL

DHCP: 动态主机配置协议 ACL：访问控制列表 三层交换机：具有三层路由转发能力的交换机 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置，在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍，一些具体的端口显示或许与你们实际的设备不符，但这并不影响基本配置命令的执行。 3、cisco设备端口配置详解 4、vlan的规划及配置 在本节中我们讲解vlan的规划及具体的配置命令。在此例中我们用的是vtp(VLAN Trunking Protocol)server的模式，在这种模式中我们需要配置核心交换机的vtp模式为server，各接入交换机的vtp模式为cilent，那么配置完成后接入交换机会通过trunk口自动从核心交换机学习到所有的vlan配置信息。在接入交换机中只

需要添加相应的端口即可，这样易于管理与部署。具体的配置命令我们通过两小节来演示： 4.1 核心交换机的相关配置 4.2 接入交换机的相关配置 5、配置交换机的路由功能 说明：只有在三层交换机上才有路由功能，其他的二层接入交换机要想在不同的vlan之间传送数据需要通过trunk口到核心交换机上进行完路由交换后才可以。 6、配置交换机的DHCP功能 7、常用排错命令 看了“思科交换机配置教程详解”还看了： 1.思科交换机的基本配置详解 2.思科交换机配置命令教程

Cisco+3750交换机配置

3750交换机（EMI） 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能（EMI）的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持，对于路由端口支持入出双向的访问列表，对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持（需要多层交换的IOS） ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视

?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件） ?Syslog功能 其它功能： 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

思科交换机密码设置方法

思科交换机密码设置方法 一.设置console密码 >enable #configure trminal (confing)#line console 0←console口 ①(config-line)#password (cisco)←密码 (config-line)#login ←一定不能少的. console密码设置完成 exit 二:设置全局密码 enadle #configure terminal ②(config)#enable secret (class)←密码 (config)#login 全局密码设置完成 exit 三.设置远程登入(telnet)密码 enable #config terminal (config)#line vty 0 4(0 4是指同时登录人数) ③(config-line)#password (class)←密码 (config-lline)#login exit 四.保存以上设置 >enadle #copy running-config strat-config 思科交换机密码的破解 ⒈连接交换机的console口到终端或PC仿真终端。用无Modem的直连线连接PC的串行口到交换机的console口。 ⒉首先得拔掉电源,因为思科交换机上没有开关所以我们只能拔掉电源接下来我们要做的就是按住MODE按钮接着插上电源等端口指示灯灭掉松开 ⒊初始化flash。 >flash_init ⒋更名含有password的配置文件。 >rename flash:config.text flash:config.old ⒌启动交换机。 >boot ⒍进入特权模式。 >enable ⒎此时开机是已忽略password。 #rename flash:config.old flash:config.text ⒏copy配置文件到当前系统中。 #copy flash:config.text system:running-config ⒐修改口令。 #configure terminal #enable secret ⒑保存配置。 #write

Cisco交换机配置新手篇-端口配置(一)

C i s c o交换机配置新手篇-端口配置(一) 上回跟大家介绍了如何正确连接交换机，今天用一些配置片段给大家介绍一下端口的配置。鉴于网上大多数配置事例都是show-run出来的结果。不利于新手对命令配置过程的了解，所以笔者将配置片段和注意的地方都注明了一下，希望能帮助新手尽快了解如何正确配置交换机。 在IOS输入命令时只要缩写的程度不会引起混淆，使用配置命令的时候都可以使用缩写的形式。比如：Switch>enable，在用户模式下以en开头的命令就只有enable，所以可以缩写成Switch>en。也可以用TAB键把命令自动补全，如Switch>en，按键盘TAB后自动补全为Switch>enable。 快捷键: 1.Ctrl+A:把光标快速移动到整行的最开始 2.Ctrl+E:把光标快速移动到整行的最末尾 3.Esc+B:后退1个单词 4.Ctrl+B:后退1个字符 5.Esc+F:前进1个单词 6.Ctrl+F:前进1个字符 7.Ctrl+D:删除单独1个字符 8.Backspace:删除单独1个字符 9.Ctrl+R:重新显示1行 10.Ctrl+U:擦除1整行 11.Ctrl+W:删除1个单词 12. Ctrl+Z从全局模式退出到特权模式 13.Up arrow或者Ctrl+P:显示之前最后输入过的命令 14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令 配置enable口令以及主机名字，交换机中可以配置两种口令 (一)使能口令（enable password），口令以明文显示 (二)使能密码（enbale secret），口令以密文显示 两者一般只需要配置其中一个，如果两者同时配置时，只有使能密码生效. Switch.> /*用户直行模式提示符 Switch.>enable /*进入特权模式 Switch.# /*特权模式提示符 Switch.# config terminal /*进入配置模式 Switch.(config)# /*配置模式提示符 Switch.(config)# hostname Pconline /*设置主机名Pconline Pconline(config)# enable password pconline /*设置使能口令为pconline Pconline(config)# enable secret network /*设置使能密码为network Pconline(config)# line vty 0 15 /*设置虚拟终端线 Pconline(config-line)# login /*设置登陆验证 Pconline(config-line)# password skill /*设置虚拟终端登陆密码 注意：默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的，远端进行telnet 时候会提示设置login密码。许多新手会认为no login是无法从远端登陆，其实no login是代表不需要验证密码就可以从远端telnet到交换机，任何人都能telnet到交换机这样是很危险的，千万要注意。 Cisco交换机配置新手篇-端口配置(二)

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

Cisco交换机常用配置命令

Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机（初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置：Console端口连接 用户模式hostname>； 特权模式hostname(config)# ； 全局配置模式hostname(config-if)# ； 交换机口令设置： switch>enable ；进入特权模式 switch#config；进入全局配置模式 switch(config)#hostname cisco ；设置交换机的主机名 switch(config)#enable secret csico1 ；设置特权加密口令 switch(config)#enable password csico8 ；设置特权非密口令 switch(config)#line console 0 ；进入控制台口 switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；虚拟终端允许登录 switch(config-line)#password csico6 ；设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置，與write一樣switch#exit；返回命令 配置终端过一会时间就会由全局配置模式自动改为用户模式，将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令： switch#write；保存配置信息 switch#showvtp；查看vtp配置信息 switch#show run ；查看当前配置信息 switch#showvlan；查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ；查看端口信息

思科交换机实用配置步骤详解

1.交换机支持的命令： 交换机基本状态： switch: ;ROM状态，路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置： switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令

交换机VLAN设置： switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1，2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址： switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关

思科交换机安全(详细配置、讲解)(知识材料)

cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT 必须支持802.1X方式，如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置： Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用 可选配置： Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证，注意：如果会话已经建立，此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口 Switch#configure terminal

思科交换机配置常用命令(精编文档).doc

【最新整理，下载后即可编辑】 Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 分类：IT资讯 标签： cisco 杂谈 基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令（level_#=1)或特权口令（level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令，设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令，设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令（加密或不加密） S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口（默认启用） S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中

思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全（Port-Security） 1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用： a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获 得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。 4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法： 针对第3条的两种应用，分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址： Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包， 在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。 b、接受某特定计算机mac地址： Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky

Cisco路由器交换机安全配置

一、网络结构及安全脆弱性 为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权访问攻击。 口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。 3．IP地址欺骗攻击 …. 利用Cisco Router和Switch可以有效防止上述攻击。 二、保护路由器 2.1 防止来自其它各省、市用户Ddos攻击 最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router 利用率升高。 Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。 如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。 防X措施： 应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击

以上均已经配置。 防止ICMP-flooging攻击 以上均已经配置。 除非在特别要求情况下，应关闭源路由:

Router(config-t)#no ip source-route 以上均已经配置。 禁止用CDP发现邻近的cisco设备、型号和软件版本 如果使用works2000网管软件，则不需要此项操作 此项未配置。 使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 Router(config-t)#ip cef 2.2 防止非法授权访问 通过单向算法对“enable secret”密码进行加密

Cisco路由器交换机的常规安全配置模版

Cisco路由器和交换机的安全配置模板 一、设备命名规范 为统一网络设备命名，方便今后网络项目实施和运维管理，拟对网络设备进行统一命名，详细命名规则如下： 设备名称组成部分 网络系统中具体一台设备的命名由如下五个部分组成： Hostname: AABBCCDDEE AA：表示各分行的地区名称简写，如：上海：SH BB：表示功能区域名称 CC：表示设备所在的网络层次 DD：表示设备类型 EE：表示设备的序列号，01表示第一台，02为第二台。 设备名称中的英文字母全部采用大写，各部分之间使用下划线连接。 每个字母具体范围如下： 各分行地区名称如下表示（AA）： 功能区域或地域名称规则表如下所示（BB）：

网络设备所在层命名规则表如下所示（CC）： 网络设备类型命名规则表如下所示（DD）： 网络设备序列号编号规则表如下所示(EE)：

二、路由器配置 一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有： A,如果可以开机箱的，则可以切断与CON口互联的物理线路。 B,可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他的)。 C,配合使用访问控制列表控制对CON口的访问。 如：Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如： Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 5,建议采用权限分级策略。如： Router(Config)#username lanstar privilege 10 lanstar Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如： Router(Config)#ip ftp username lanstar Router(Config)#ip ftp password lanstar Router#copy startup-config ftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(Cisco Discovery Protocol)。如： Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers