cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全
思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助!
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建议不要采用enable password pass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#service password-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码
switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大
switch(config)#privilege exec level 7 commands
/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password 7 pass_sting /设置加密密码
switch(config-line)#login /启用登录验证
方式(2):本地AAA认证
switch(config)#aaa new-model /启用AAA认证
switch(config)#aaa authentication login console-in group acsserver local
enable
/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#line console 0
switch(config-line)# login authentication console-in
/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaa authentication login vty-in group acsserver local
enable
/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#login authentication vty-in
/调用authentication设置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名
switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MAC Flooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置root guard,bpduguard,bpdufilter
VLAN,DTP攻击
预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcp snooping
ARP攻击
预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/启用环路保护功能,启用loop guard时自动关闭root guard
接终端用户的端口上设定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-tree guard root
/当一端口启用了root
guard功能后,当它收到了一个比根网桥优先值更优的.BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-tree bpdufilter enable
/当启用bpdufilter功能时,该端口将丢弃所有的bpdu包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-tree bpduguard enable
/当启用bpduguard功能的交换机端口接收到bpdu时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%
switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
ISCO WS-C4948-E重要参数
这款交换机配备了52个端口,为连接多个设备提供了充足的空间,满足了高密度网络环境的需求。其背板带宽达到惊人的96Gbps,确保了数据传输的高效和流畅。在VLAN管理方面,ISCO WS-C4948-E支持灵活的网络分段,有助于提升网络安全性并优化资源分配。网络管理方面,它采用基于命令行界面(CLI)的方式,便于用...
ISCO WS-C4948-E功能特性
ISCO WS-C4948-E是一款全面支持多种网络标准的交换机,它符合以下标准:IEEE 802.3(以太网基本标准)、IEEE 802.3u(快速以太网)、IEEE 802.3z(千兆以太网)、IEEE 802.3ab(千兆以太网的物理层)以及IEEE 802.1D(生成树协议)、IEEE 802.1w(快速生成树协议)、IEEE 802.1s(虚拟化扩展的...
ISCO WS-C6509-NEB-A重要参数
在VLAN管理上,该交换机支持,有助于实现网络分段,提高网络安全性及资源利用率。此外,CiscoWorks2000和RMON等网络管理工具的集成,使得设备的监控和维护更加便捷。包转发率达到了387Mpps,这表明WS-C6509-NEB-A具有出色的并发处理能力,能够处理大量数据包的交换。它遵循的网络标准包括IEEE 802.3、IEEE ...
cisco2960与华为3526 ,同为24口的,哪个性能更好一点
cisoc2960不过是台二层交换机. 而s3526是三层交换机.包括转发率, 交换容量,都比二层的交换机要高些.不过,现在s3526并不好找, 一般都用华三的s3600系列来替代.
ciisco交换机的型号有哪些?
型号多了,先说说打的分类吧,低端的有800系列的,1600,1700些列的,还有2600 3600,高端的有7000等系列,骨干网12000系列的
accp是什么意思(ACCP、MCSA、CCNA是什么意思)
CCNA(iscoCertifiedNetworkAssociate)Cisco售后工程师认证体系的入门认证,也是Cisco各项认证中级别最低的技术认证;通过CCNA,可证明你已掌握网络的基本知识,并能初步安装、配置和操作Cisco路由器、交换机及简单的LAN和WAN。“北大青鸟”是干什么的什么意思 北大青鸟是一个教育集团,是北京大学的校办产业,...
h3c怎么设置?
C揣鸡编课妆酒表旬勃莫ISCO H3C交换机貌似可以直接用三层口对接。。。H3C交换机的口可以切换到路由口,如果是华为的交换机就只能用VLAN对接三层口。三层对接。中间链路做trunk只需要允许对接的vlan id就行。。。其他的vlan没必要放过。。毕竟中间链路是3三层。。隔离二层的。。
caisco3750三层交换机怎么样用于vlan路由
启用ip routing ,建议多个vlan,然后把想要宣告的网段network到路由表中,即可实现VLAN间通信。
switch的设备名称和MAC地址
__isco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。?1.方案1——基于端口的MAC地址绑定_伎?2950交换机为例,登录进入交换机,输入...
cisco交换机如何查看实时端口速率
speed 100 \/设置该端口速率为100Mb\/s dulplex full\/half\/auto \/设置该端口为全双工 description TO_PC1 \/设置该端口描述为TO_PC1 show interface fastethernet 0\/1 \/查看端口0\/1的配置结果 show interface fastethernet 0\/1 status \/查看端口0\/1的状态 ciscoasa iscoasa(config)# interface gig ...
平购前列: 1924交换机上配置 sw1924_b#delete nvram 全部清除交换机的所有配置 sw1924_b#reload 重新启动交换机(初始提示符为> ) sw1924_b#hostname sw1924 设置交换机...
延庆县13542745321: cisco配置交换机使能加密口令是什么?命令是什么? - ?
平购前列: 使能加密口令就是在进入特权模式时使用的密码. 体现在登录时如下: Switch>en Password: 输入正确的密码后才能进入到特权模式, Switch>en Password: Switch#配置命令是在全局模式下使用命令: Switch# Switch#conf t Switch(config)#enable secret admin 这里我使用的是secret 而不是 password ,因为PAssword传输时是使用的明文,而secret是用的密文.我设置的密码是admin
延庆县13542745321: 思科三层交换机配置命令 - ?
平购前列: 1. 交换机支持的命令: 交换机基本状态: switch: ;ROM状态, 路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置: switch>enable ;进入特权...
延庆县13542745321: cisco三层交换机配置命令是什么? ?
平购前列: 比较全面的三层交换机配置实例 Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给...
延庆县13542745321: Cisco 交换机/路由器 ssh 怎么 配置 - ?
平购前列: 1、设置域名:Router (config)# ip domain-name abc.com 2、配置加密方式为RSA:Router (config)# crypto key generate rsa 3、开启AAA认证:Router (config)# aaa new-model 4、设置客户吗与密码:Router (config)# username test password test...
延庆县13542745321: 对于Cisco PIX防火墙配置命令 不是很熟悉 详细介绍下 ? - ?
平购前列: 可以参考下面的做法: 最近网上流行一种后门病毒:Iexplores.exe.(有的改成了rose.exe等,之后在注册表查找的时候注意更改即可)这个后可使后门种植者通过该 后门秘密控制受感染机器,这个病毒工作于Windows 32平台. 病毒会在硬盘的 ...
延庆县13542745321: 交换机配置信息与指令集 - ?
平购前列: Cisco路由器交换机配置命令详解 1. 交换机支持的命令: 交换机基本状态: switch: ;ROM状态, 路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局...
延庆县13542745321: 谁有思科路由器和交换机的命令大全,最好是带中文翻译的.谢谢!!!! - ?
平购前列: Cisco路由器交换机配置命令详解 1. 交换机支持的命令: 交换机基本状态: switch: ;ROM状态, 路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令...
延庆县13542745321: 思科路由交换的配置步骤,以及步骤中命令详解 - ?
平购前列: 思科Cisco交换机、路由器设置命令 Lzshihj_tz2f_3550 交换机口令设置:switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname <hostname> ;设置交换机的主机名 switch(config)#enable secret xxx ;...
延庆县13542745321: 求思科交换机的配置命令 - ?
平购前列: 1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password ...
