cisco交換機(jī)安全配置設(shè)定

1、cisco交換機(jī)安全配置設(shè)定一、交換機(jī)訪問控制安全配置1、對(duì)交換機(jī)特權(quán)模式設(shè)置密碼盡量采用加密和md5hash方式switch(config)#enablesecret5pass_string其中 0SpecifiesanUNENCRYPTEDpasswordwillfollow5SpecifiesanENCRYPTEDsecretwillfollow建議不要采用enablepasswordpass_sting密碼，破解及其容易2、設(shè)置對(duì)交換機(jī)明文密碼自動(dòng)進(jìn)行加密隱藏switch(config)#servicepassword-encryption3、為提高交換機(jī)管理的靈活性，建議權(quán)限分級(jí)管理

2、并建立多用 戶switch(config)#enablesecretlevel75pass_string7/7 級(jí)用戶進(jìn)入特權(quán)模式的密碼switch(config)#enablesecret5pass_string15/15級(jí)用戶進(jìn)入特權(quán)模式的密碼switch(config)#usernameuserAprivilege7secret5pass_userAswitch(config)#usernameuserBprivilege15secret5pass_userB/為7級(jí)，15級(jí)用戶設(shè)置用戶名和密碼，Ciscoprivilegelevel分為0-15級(jí)，級(jí)別越高權(quán)限越大switch(conf

3、ig)#privilegeexeclevel7commands/ 為 7 級(jí)用戶設(shè) 置可執(zhí)行的命令，其中command同以根據(jù)分配給用戶的權(quán)限自行定 義4、本地console 口訪問安全配置switch(config)#lineconsole0switch(config-line)#exec-timeout50/ 設(shè)置不執(zhí)行命令操作的超時(shí)時(shí)間，單位為分鐘和秒switch(config-line)#loggingsynchronous/ 強(qiáng)制對(duì)彈出的干擾日志信息進(jìn)行回車換行，使用戶輸入的命令連續(xù)可見設(shè)置登錄console 口進(jìn)行密碼驗(yàn)證方式(1):本地認(rèn)證switch(config-line)#

4、password7pass_sting/設(shè)置力口密密碼switch(config-line)#login/啟用登錄驗(yàn)證方式(2):本地AAAA證switch(config)#aaanew-model/啟用 AAAK證switch(config)#aaaauthenticationloginconsole-ingroupacsserverlocalenable/設(shè)置認(rèn)證列表console-in 優(yōu)先依次為ACSServer, local用戶 名和密碼，enable特權(quán)密碼switch(config)#lineconsole0switch(config-line)#loginauthenticat

5、ionconsole-in/調(diào)用authentication 設(shè)置的 console-in 歹！J表5、遠(yuǎn)程vty訪問控制安全配置switch(config)#access-list18permithostx.x.x.x/設(shè)置標(biāo)準(zhǔn)訪問控制列表定義可遠(yuǎn)程訪問的PC主機(jī)switch(config)#aaaauthenticationloginvty- ingroupacsserverlocalenable/設(shè)置認(rèn)證列表vty-in,優(yōu)先依次為ACSServer, local用戶名和 密碼，enable特權(quán)密碼switch(config)#aaaauthorizationcommands7vty-

6、ingroupacsserverlocalif-authenticated/為7級(jí)用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACSServer,local 授權(quán)switch(config)#aaaauthorizationcommands15vty- ingroupacsserverlocalif-authenticated/為15級(jí)用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACSServer,local 授權(quán)switch(config)#linevty015switch(config-line)#access-class18in/ 在線路模式下調(diào)用前面定義的標(biāo)準(zhǔn)ACL18switch(confi

7、g-line)#exec-timeout50/設(shè)置不執(zhí)行命令操作的超時(shí)時(shí)間，單位為分鐘和秒switch(config-line)#authorizationcommands7vty-in/ 調(diào)用設(shè)置的授權(quán)列表vty-inswitch(config-line)#authorizationcommands15vty-inswitch(config-line)#loggingsynchronous/ 強(qiáng)制對(duì)彈出的干擾日志信息進(jìn)行回車換行，使用戶輸入的命令連續(xù)可見switch(config-line)#loginauthenticationvty-in/調(diào)用authentication 設(shè)置的 vty

8、-in 歹！J表switch(config-line)#transportinputssh/ 有 Telnet 協(xié)議不安全，僅允許通過ssh協(xié)議進(jìn)行遠(yuǎn)程登錄管理6、AAA安全配置switch(config)#aaagroupservertacacs+acsserver/ 設(shè)置 AAA!艮 務(wù)器組名switch(config-sg-tacacs+)#serverx.x.x.x/ 設(shè)置 AAA0艮務(wù)器組成員服務(wù)器ipswitch(config-sg-tacacs+)#serverx.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)#tacacs-s

9、erverkeypaa_string/ 設(shè)置同 tacacs-server服務(wù)器通信的密鑰二、交換機(jī)網(wǎng)絡(luò)服務(wù)安全配置禁用不需要的各種服務(wù)協(xié)議switch(config)#noservicepadswitch(config)#noservicefingerswitch(config)#noservicetcp-small-serversswitch(config)#noserviceudp-small-serversswitch(config)#noserviceconfigswitch(config)#noserviceftpswitch(config)#noiphttpserverswitc

10、h(config)#noiphttpsecure-server/關(guān)閉http,https 遠(yuǎn)程web管理服務(wù)，默認(rèn)cisco交換機(jī)是啟用 的三、交換機(jī)防攻擊安全加固配置MACFlooding(泛洪)和 Spoofing(欺騙)攻擊預(yù)防方法：有效配置交換機(jī)port-securitySTP攻擊預(yù)防方法：有效酉己置 rootguard,bpduguard,bpdufilterVLAN DTP攻擊預(yù)防方法：設(shè)置專用的nativevlan;不要的接口 shut或?qū)⒍丝?模式改為accessDHC畋擊預(yù)防方法：設(shè)置 dhcpsnoopingAR或擊預(yù)防方法：在啟用dhcpsnooping功能下配置DAI和

11、port- security在級(jí)聯(lián)上層交換機(jī)的trunk下switch(config)#intgix/x/xswitch(config-if)#swmodetrunkswitch(config-if)#swtrunkencapsdot1qswitch(config-if)#swtrunkallowedvlanx-xswitch(config-if)#spanning-treeguardloop/啟用環(huán)路保護(hù)功能，啟用loopguard時(shí)自動(dòng)關(guān)閉rootguard接終端用戶的端口上設(shè)定switch(config)#intgix/x/xswitch(config-if)#spanning-tree

12、portfast/在STP中交換機(jī)端口有 5個(gè)狀態(tài)：disable、blocking、 listening 、learning、forwarding ,只有處于 forwarding 狀態(tài)的 端口才可以發(fā)送數(shù)據(jù)。但需經(jīng)過從blocking-listening15s,listening-learning15s,learning-forwarding20s共計(jì)50s的時(shí)間，啟用portfast 后將直接從 blocking-forwarding 狀態(tài)，這樣大大縮短了等待的時(shí)間。說明：portfast僅適用于連接終端或服務(wù)器的交換機(jī)端口，不 能在連接交換機(jī)的端口上使用！switch(config-i

13、f)#spanning-treeguardroot/當(dāng)一端口啟用了 rootguard功能后，當(dāng)它收到了一個(gè)比根網(wǎng)橋 優(yōu)先值更優(yōu)的BPD電，則它會(huì)立即阻塞該端口，使之不能形成環(huán)路 等情況。這個(gè)端口特性是動(dòng)態(tài)的，當(dāng)沒有收到更優(yōu)的包時(shí)，則此端 口又會(huì)自己變成轉(zhuǎn)發(fā)狀態(tài)了。switch(config-if)#spanning-treebpdufilterenable/當(dāng)啟用bpdufilter功能時(shí)，該端口將丟棄所有的bpdu包，可能影響網(wǎng)絡(luò)拓?fù)涞姆€(wěn)定性并造成網(wǎng)絡(luò)環(huán)路switch(config-if)#spanning-treebpduguardenable/當(dāng)啟用bpduguard功能的交換機(jī)端口接

14、收到bpdu時(shí)，會(huì)立即將 該端口置為error-disabled狀態(tài)而無法轉(zhuǎn)發(fā)數(shù)據(jù)，進(jìn)而避免了網(wǎng)絡(luò)環(huán)路！注意：同時(shí)啟用 bpduguard 與 bpdufilter 時(shí)，bpdufilter 優(yōu)先 級(jí)較高，bpduguard將失效！廣播、組播風(fēng)暴控制設(shè)定switch(config-if)#storm-controlbroadcastlevel10/設(shè)定廣播的閥值為10%switch(config-if)#storm-controlmulticastlevel10/設(shè)定組播的閥值為10%switch(config-if)#storm-controlactionshutdown/Shutdownt

15、hisinterfaceifastormoccursorswitch(config-if)#storm-controlactiontrap/SendSNMPtrapifastormoccursMACfe址綁定端口安全設(shè)定switch(config-if)#switchportport-security/啟用端口安全switch(config-if)#switchportport-securitymaximumnumber/默認(rèn)每個(gè)接口最大的值為1switch(config-if)#switchportport- securityviolationprotect|restrict|shutdow

16、n/啟用安全違規(guī)行為protect:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MAOf,后來的MAC言息將直 接丟棄，且不產(chǎn)生通知restrict:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MACB,后來的MAC言息將直接丟棄并發(fā)送snmptrap,syslog 信息。shutdown:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MACB,后來的MAC言息將 不再解析并直接關(guān)閉該端口，除非手動(dòng) shut,noshut或通過 errdisablerecoverycause原因來進(jìn)彳亍恢復(fù)switch(config-if)#switchportport-securitymac-addresssticky/啟用mac自動(dòng)學(xué)習(xí)功能，無需手動(dòng)進(jìn)行綁定端口錯(cuò)誤

17、檢測(cè)和自動(dòng)恢復(fù)設(shè)定switch(config)#errdisabledetectcauseall/檢測(cè)switch(config)#errdisablerecoverycauseall/誤發(fā)生后在30s后自動(dòng)恢復(fù)switch(config)#errdisablerecoveryinterval30/ 時(shí)間為30s四、三層交換機(jī)常用路由協(xié)議安全配置啟用所有類型錯(cuò)誤啟用所有類型錯(cuò)自動(dòng)恢復(fù)間隔1、RIP協(xié)議建議不采用RIPV1,使用支持md5認(rèn)證的RIPV2版本switch(config)#keychainchain_name/ 設(shè)置密鑰鏈名switch(config-key-chain)#key1

18、/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/設(shè)置密鑰字符串switch(config)#routerripswitch(config-router)#version2/啟用 RIP-V2switch(config-router)#networkx.x.x.xswitch(config-router)#passive-interfacex/x/啟用passive-interface禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口(只是禁止轉(zhuǎn)發(fā)路由信息，并沒有禁止接收)switch(config)#interfacex/xswitch(confi

19、g-if)#ipripauthenticationmodemd5/指定認(rèn)證方式為md5switch(config-if)#ipripauthenticationkey-chainchain_name/調(diào)用定義的密鑰鏈名注意：啟用RIPV2協(xié)議的互連路由接口其密鑰KeyID和Keystring必須相同才可通過認(rèn)證！2、EIGR的議eigrp僅支持md5認(rèn)證switch(config)#keychainchain_name/設(shè)置密鑰鏈名switch(config-key-chain)#key1/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/

20、設(shè)置密鑰字符串switch(config)#routereigrpas-num/ 設(shè)置 eigrp 自治系統(tǒng)號(hào)， 在本地有效switch(config-router)#networkx.x.x.xswitch(config-router)#noauto-summary/ 關(guān)閉自動(dòng)匯總功能switch(config)#interfacex/xswitch(config-if)#ipauthenticationmodeeigrp100md5/ 指定eigrp100區(qū)域的認(rèn)證方式為md5switch(config-if)#ipauthenticationkey-chaineigrp100chain_

21、name/調(diào)用定義的密鑰鏈名注意：啟用EIGRPmd虱證的互連路由接口其密鑰 KeyID和 Keystring必須相同才可通過認(rèn)證！3、OSPfW議switch(config)#routerospf100/設(shè)置本地有效的標(biāo)識(shí)符 100switch(config-router)#areaarea_idauthenticationmessage-digest/在區(qū)域內(nèi)啟用 md5認(rèn)證switch(config-if)#ipospfauthenticationmessage-digest/在接口下啟用md5認(rèn)證switch(config-if)#ipospfmessage-digest-keyidm

22、d5pass_string/在接口下設(shè)置md5密鑰id及密鑰字符串，兩 端啟用OSP播由協(xié)議的端口必須相同4、HSRP/VRRP、議switch(config)#keychainchain_name/設(shè)置密鑰鏈名switch(config-key-chain)#key1/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/設(shè)置密鑰字符串switch(config-if)#standbygroup_numauthenticationmd5key- chainchain_name/在啟用hsrp協(xié)議的接口下啟用 md5認(rèn)證并調(diào)用設(shè) 定的密鑰鏈名s

23、witch(config-if)#vrrpgroup_numauthenticationmd5key- chainchain_name/在啟用vrrp協(xié)議的接口下啟用md5認(rèn)證并調(diào)用設(shè) 定的密鑰鏈名五、交換機(jī)日志收集審計(jì)安全配置trunk接口日志事件設(shè)定switch(config)#intgix/x/x switch(config-if)#swmodetrunk switch(config-if)#swtrunkencapsdot1q switch(config-if)#loggingeventtrunk-status switch(config-if)#loggingeventlink-st

24、atus switch(config-if)#loggingeventspanning-tree switch(config-if)#loggingeventbundle-status switch(config-if)#loggingeventstatus access接口日志世界設(shè)定switch(config)#intgix/x/x switch(config-if)#swmodeaccess switch(config-if)#swaccessvlanxx switch(config-if)#loggingeventlink-status switch(config-if)#loggin

25、geventspanning-tree switch(config-if)#loggingeventbundle-status switch(config-if)#loggingeventstatus 日志收集分析設(shè)定switch(config)#loggingon/ 啟動(dòng)日志switch(config)#logginghostx.x.x.x/ 設(shè)定收集日志的 syslogserverswitch(config)#loggingsource-interfaceloopback0/設(shè)定發(fā)送日志的原地址switch(config)#loggingfacilitylocal6/cisco設(shè)備的默認(rèn)類

26、型switch(config)#loggingtrap7/ 設(shè)定記錄日志服務(wù)的類型，數(shù)據(jù)越大，威脅程度越低，分為0-7,設(shè)置為7表示包含所有日志類型switch(config)#loggingbufferednumber/設(shè)定本地 日 志buffersize 大小時(shí)區(qū)和時(shí)間設(shè)定(確保日志記錄的準(zhǔn)確性)switch(config)#clocktimezoneUTC8/設(shè)定時(shí)區(qū)為 UTC8switch(config)#ntpserverx.x.x.x/ 設(shè)定 NTPServer 時(shí)間同步服 務(wù)器switch(config)#ntpsourceloopback0/ 設(shè)定 ntp 時(shí)間同步原地址swi

27、tch(config)#ntpauthenticate/ 啟用 ntp 認(rèn)證switch(config)#ntpauthentication-key1md5pass-string/ 設(shè)置認(rèn)證密鑰和密碼switch(config)#ntptrusted-key1六、交換機(jī)其他安全配置1、即時(shí)關(guān)注ciscoios漏洞信息，為漏洞ios安裝補(bǔ)丁或升級(jí) ios2、定期備份交換機(jī)設(shè)備配置文件及ios文件3、嚴(yán)格設(shè)置登錄Banner。必須包含非授權(quán)用戶禁止登錄的字樣4、禁用DN里找switch(config)#noipdomain-lookup/避免輸入錯(cuò)誤命令時(shí)，交換機(jī)進(jìn)行 dns解析查找直到dns查找

28、 失敗，延遲較大；建議關(guān)閉一、交換機(jī)訪問控制安全配置1、對(duì)交換機(jī)特權(quán)模式設(shè)置密碼盡量采用加密和md5hash方式switch(config)#enablesecret5pass_string其中 0SpecifiesanUNENCRYPTEDpasswordwillfollow5SpecifiesanENCRYPTEDsecretwillfollow建議不要采用enablepasswordpass_sting密碼，破解及其容易2、設(shè)置對(duì)交換機(jī)明文密碼自動(dòng)進(jìn)行加密隱藏switch(config)#servicepassword-encryption3、為提高交換機(jī)管理的靈活性，建議權(quán)限分級(jí)管理并

29、建立多用 戶switch(config)#enablesecretlevel75pass_string7/7 級(jí)用戶進(jìn)入特權(quán)模式的密碼switch(config)#enablesecret5pass_string15/15級(jí)用戶進(jìn)入特權(quán)模式的密碼switch(config)#usernameuserAprivilege7secret5pass_userAswitch(config)#usernameuserBprivilege15secret5pass_userB/為7級(jí)，15級(jí)用戶設(shè)置用戶名和密碼，Ciscoprivilegelevel分為0-15級(jí)，級(jí)別越高權(quán)限越大switch(confi

30、g)#privilegeexeclevel7commands/ 為 7 級(jí)用戶設(shè) 置可執(zhí)行的命令，其中command同以根據(jù)分配給用戶的權(quán)限自行定 義4、本地console 口訪問安全配置switch(config)#lineconsole0switch(config-line)#exec-timeout50/ 設(shè)置不執(zhí)行命令操作的超時(shí)時(shí)間，單位為分鐘和秒switch(config-line)#loggingsynchronous/ 強(qiáng)制對(duì)彈出的干擾日志信息進(jìn)行回車換行，使用戶輸入的命令連續(xù)可見設(shè)置登錄console 口進(jìn)行密碼驗(yàn)證方式(1):本地認(rèn)證switch(config-line)#p

31、assword7pass_sting/ 設(shè)置力密密碼switch(config-line)#login/啟用登錄驗(yàn)證方式(2):本地AAAA證switch(config)#aaanew-model/ 啟用 AAAK證switch(config)#aaaauthenticationloginconsole- ingroupacsserverlocalenable/設(shè)置認(rèn)證列表console-in 優(yōu)先依次為ACSServer, local用戶 名和密碼，enable特權(quán)密碼switch(config)#lineconsole0switch(config-line)#loginauthentica

32、tionconsole-in/調(diào)用authentication 設(shè)置的 console-in 歹！J表5、遠(yuǎn)程vty訪問控制安全配置switch(config)#access-list18permithostx.x.x.x/設(shè)置標(biāo)準(zhǔn)訪問控制列表定義可遠(yuǎn)程訪問的PC主機(jī)switch(config)#aaaauthenticationloginvty- ingroupacsserverlocalenable/設(shè)置認(rèn)證列表vty-in,優(yōu)先依次為ACSServer, local用戶名和 密碼，enable特權(quán)密碼switch(config)#aaaauthorizationcommands7vty-

33、 ingroupacsserverlocalif-authenticated/為7級(jí)用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACSServer,local 授權(quán)switch(config)#aaaauthorizationcommands15vty- ingroupacsserverlocalif-authenticated/為15級(jí)用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACSServer,local 授權(quán)switch(config)#linevty015switch(config-line)#access-class18in/ 在線路模式下調(diào)用前面定義的標(biāo)準(zhǔn)ACL18switch(conf

34、ig-line)#exec-timeout50/設(shè)置不執(zhí)行命令操作的超時(shí)時(shí)間，單位為分鐘和秒switch(config-line)#authorizationcommands7vty-in/ 調(diào)用設(shè) 置的授權(quán)列表vty-inswitch(config-line)#authorizationcommands15vty-inswitch(config-line)#loggingsynchronous/ 強(qiáng)制對(duì)彈出的干擾日志信息進(jìn)行回車換行，使用戶輸入的命令連續(xù)可見switch(config-line)#loginauthenticationvty-in/調(diào)用authentication 設(shè)置的 v

35、ty-in 歹！J表switch(config-line)#transportinputssh/ 有 Telnet 協(xié)議不安全，僅允許通過ssh協(xié)議進(jìn)行遠(yuǎn)程登錄管理6、AAA安全配置switch(config)#aaagroupservertacacs+acsserver/設(shè)置 AAA務(wù)器組名switch(config-sg-tacacs+)#serverx.x.x.x/ 設(shè)置 AAA1 艮務(wù)器組 成員服務(wù)器ipswitch(config-sg-tacacs+)#serverx.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)#tacacs-s

36、erverkeypaa_string/ 設(shè)置同 tacacs-server服務(wù)器通信的密鑰二、交換機(jī)網(wǎng)絡(luò)服務(wù)安全配置禁用不需要的各種服務(wù)協(xié)議switch(config)#noservicepadswitch(config)#noservicefingerswitch(config)#noservicetcp-small-serversswitch(config)#noserviceudp-small-serversswitch(config)#noserviceconfigswitch(config)#noserviceftpswitch(config)#noiphttpserverswitc

37、h(config)#noiphttpsecure-server/關(guān)閉http,https 遠(yuǎn)程web管理服務(wù)，默認(rèn)cisco交換機(jī)是啟用 的三、交換機(jī)防攻擊安全加固配置MACFlooding(泛洪)和 Spoofing(欺騙)攻擊預(yù)防方法：有效配置交換機(jī)port-securitySTP攻擊預(yù)防方法：有效酉己置 rootguard,bpduguard,bpdufilterVLAN DTP攻擊預(yù)防方法：設(shè)置專用的nativevlan;不要的接口 shut或?qū)⒍丝?模式改為accessDHC畋擊預(yù)防方法：設(shè)置 dhcpsnoopingAR或擊預(yù)防方法：在啟用dhcpsnooping功能下配置DAI和

38、port- security在級(jí)聯(lián)上層交換機(jī)的trunk下switch(config)#intgix/x/xswitch(config-if)#swmodetrunkswitch(config-if)#swtrunkencapsdot1qswitch(config-if)#swtrunkallowedvlanx-xswitch(config-if)#spanning-treeguardloop/啟用環(huán)路保護(hù)功能，啟用loopguard時(shí)自動(dòng)關(guān)閉rootguard接終端用戶的端口上設(shè)定switch(config)#intgix/x/xswitch(config-if)#spanning-tree

39、portfast/在STP中交換機(jī)端口有 5個(gè)狀態(tài)：disable、blocking、 listening 、learning、forwarding ,只有處于 forwarding 狀態(tài)的 端口才可以發(fā)送數(shù)據(jù)。但需經(jīng)過從blocking-listening15s,listening-learning15s,learning-forwarding20s共計(jì)50s的時(shí)間，啟用portfast 后將直接從 blocking-forwarding 狀態(tài)，這樣大大縮短了等待的時(shí)間。說明：portfast僅適用于連接終端或服務(wù)器的交換機(jī)端口，不 能在連接交換機(jī)的端口上使用！switch(config-i

40、f)#spanning-treeguardroot/當(dāng)一端口啟用了 rootguard功能后，當(dāng)它收到了一個(gè)比根網(wǎng)橋 優(yōu)先值更優(yōu)的BPD電，則它會(huì)立即阻塞該端口，使之不能形成環(huán)路 等情況。這個(gè)端口特性是動(dòng)態(tài)的，當(dāng)沒有收到更優(yōu)的包時(shí)，則此端 口又會(huì)自己變成轉(zhuǎn)發(fā)狀態(tài)了。switch(config-if)#spanning-treebpdufilterenable/當(dāng)啟用bpdufilter功能時(shí)，該端口將丟棄所有的bpdu包，可能影響網(wǎng)絡(luò)拓?fù)涞姆€(wěn)定性并造成網(wǎng)絡(luò)環(huán)路switch(config-if)#spanning-treebpduguardenable/當(dāng)啟用bpduguard功能的交換機(jī)端口接

41、收到bpdu時(shí)，會(huì)立即將 該端口置為error-disabled狀態(tài)而無法轉(zhuǎn)發(fā)數(shù)據(jù)，進(jìn)而避免了網(wǎng)絡(luò)環(huán)路！注意：同時(shí)啟用 bpduguard 與 bpdufilter 時(shí)，bpdufilter 優(yōu)先 級(jí)較高，bpduguard將失效！廣播、組播風(fēng)暴控制設(shè)定switch(config-if)#storm-controlbroadcastlevel10/設(shè)定廣播的閥值為10%switch(config-if)#storm-controlmulticastlevel10/設(shè)定組播的閥值為10%switch(config-if)#storm-controlactionshutdown/Shutdownt

42、hisinterfaceifastormoccursorswitch(config-if)#storm-controlactiontrap/SendSNMPtrapifastormoccursMACfe址綁定端口安全設(shè)定switch(config-if)#switchportport-security/啟用端口安全switch(config-if)#switchportport-securitymaximumnumber/默認(rèn)每個(gè)接口最大的值為1switch(config-if)#switchportport- securityviolationprotect|restrict|shutdow

43、n/啟用安全違規(guī)行為protect:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MAOf,后來的MAC言息將直 接丟棄，且不產(chǎn)生通知restrict:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MACB,后來的MAC言息將直接丟棄并發(fā)送snmptrap,syslog 信息。shutdown:當(dāng)接口學(xué)習(xí)到設(shè)定數(shù)量的 MACB,后來的MAC言息將 不再解析并直接關(guān)閉該端口，除非手動(dòng) shut,noshut或通過 errdisablerecoverycause原因來進(jìn)彳亍恢復(fù)switch(config-if)#switchportport-securitymac-addresssticky/啟用mac自動(dòng)學(xué)習(xí)功能，無需手動(dòng)進(jìn)行綁定端口錯(cuò)誤

44、檢測(cè)和自動(dòng)恢復(fù)設(shè)定switch(config)#errdisabledetectcauseall/檢測(cè)switch(config)#errdisablerecoverycauseall/誤發(fā)生后在30s后自動(dòng)恢復(fù)switch(config)#errdisablerecoveryinterval30/ 時(shí)間為30s四、三層交換機(jī)常用路由協(xié)議安全配置啟用所有類型錯(cuò)誤啟用所有類型錯(cuò)自動(dòng)恢復(fù)間隔1、RIP協(xié)議建議不采用RIPV1,使用支持md5認(rèn)證的RIPV2版本switch(config)#keychainchain_name/ 設(shè)置密鑰鏈名switch(config-key-chain)#key1

45、/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/設(shè)置密鑰字符串switch(config)#routerripswitch(config-router)#version2/啟用 RIP-V2switch(config-router)#networkx.x.x.xswitch(config-router)#passive-interfacex/x/啟用passive-interface禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口(只是禁止轉(zhuǎn)發(fā)路由信息，并沒有禁止接收)switch(config)#interfacex/xswitch(confi

46、g-if)#ipripauthenticationmodemd5/指定認(rèn)證方式為md5switch(config-if)#ipripauthenticationkey-chainchain_name/調(diào)用定義的密鑰鏈名注意：啟用RIPV2協(xié)議的互連路由接口其密鑰KeyID和Keystring必須相同才可通過認(rèn)證！2、EIGR的議eigrp僅支持md5認(rèn)證switch(config)#keychainchain_name/設(shè)置密鑰鏈名switch(config-key-chain)#key1/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/

47、設(shè)置密鑰字符串switch(config)#routereigrpas-num/ 設(shè)置 eigrp 自治系統(tǒng)號(hào)， 在本地有效switch(config-router)#networkx.x.x.xswitch(config-router)#noauto-summary/ 關(guān)閉自動(dòng)匯總功能switch(config)#interfacex/xswitch(config-if)#ipauthenticationmodeeigrp100md5/ 指定eigrp100區(qū)域的認(rèn)證方式為md5switch(config-if)#ipauthenticationkey-chaineigrp100chain_

48、name/調(diào)用定義的密鑰鏈名注意：啟用EIGRPmd虱證的互連路由接口其密鑰 KeyID和 Keystring必須相同才可通過認(rèn)證！3、OSPfW議switch(config)#routerospf100/設(shè)置本地有效的標(biāo)識(shí)符 100switch(config-router)#areaarea_idauthenticationmessage-digest/在區(qū)域內(nèi)啟用 md5認(rèn)證switch(config-if)#ipospfauthenticationmessage-digest/在接口下啟用md5認(rèn)證switch(config-if)#ipospfmessage-digest-keyidmd5pass_string/在接口下設(shè)置md5密鑰id及密鑰字符串，兩 端啟用OSP播由協(xié)議的端口必須相同4、HSRP/VRRP、議switch(config)#keychainchain_name/設(shè)置密鑰鏈名switch(config-key-chain)#key1/設(shè)置密鑰號(hào)switch(config-key-chain)#key-stringpass_string/設(shè)置密鑰字符串switch(config-if)