交换机安全配置交换机安全配置课件

1、第四章 交换机安全配置培养目标通过本章的学习，希望您能够：掌握思科IOS的口令验证方式及配置方法掌握交换机端口安全原理及配置方法管理配置Cisco IOS设备限制设备访问 配置口令使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法必须从本地为每台设备配置口令以限制访问。在此介绍的口令有：- 控制台口令 用于限制人员通过控制台连接访问设备- 使能口令 用于限制人员访问特权执行模式- 使能加密口令 经加密，用于限制人员访问特权执行模式- VTY 口令 用于限制人员通过 Telnet 访问设备限制设备访问 配置口令Switch(config)#line console 0Switch(conf

2、ig-line)#password passwordSwitch(config-line)#login限制设备访问 配置口令请尽可能使用 enable secret 命令，而不要 使用较老版本的 enable password 命令。enable secret 命令可提供更强的安全性，因为使用此命令设置的口令会被加密。enable password 命令仅在尚未使用 enable secret 命令设置口令时才能使用。Router(config)#enable password passwordRouter(config)#enable secret password Router(confi

3、g)#line vty 0 4Router(config-line)#password passwordRouter(config-line)#login限制设备访问 配置口令和使用标语限制设备访问 配置口令加密显示口令它可在用户配置口令后使口令加密显示。service password-encryption 命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。Router(config)# service password-encryption 4.1.6 配置特权等级 通过设置口令保护

4、和划分特权级别来实现网络管理的灵活性和安全性，是控制网络上的终端访问和管理交换机的最简单办法。用户级别范围是015级，级别0是最低的级别。交换机设备系统只有两个受口令保护的授权级别：普通用户级别（0级）和特权用户级别（15级）。 用户模式只有Show的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、删除配置。在实际情况下，如果给一个管理人员分配用户模式权限，可能不能满足实际操作需求，但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。使用特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。Switch (config)#username username pri

5、vilege level password password设置管理人员的登录用户名、密码和相应的特权等级Switch(config)# privilege mode level level command设置命令的级别划分。 mode代表命令的模式，有：configure表示全局配置模式、exec表示特权命令模式、interface表示接口配置模式等等。 level代表授权级别，范围从0到15。level 1是普通用户级别， level 15是特权用户级别，在各用户级别间切换可以使用enable命令。 command代表要授权的命令。注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他

6、特权等级均不能使用该命令。4.2 交换机端口安全控制准备知识（二）常见针对交换机的安全攻击MAC地址泛洪- 主机 A 向主机 B 发送流量。交换机收到帧，并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找到目的 MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。MAC地址泛洪 主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2，并将该信息写入 MAC 地址表。 主机 C 也收到从主机 A 发到主机 B 的帧，但是因为该帧的目的 MAC 地址为主机 B，因此主机 C 丢弃该帧。MAC地址泛洪 由主机 A（或任何其

7、它主机）发送给主机 B 的任何帧都转发到交换机的端口 2，而不是从每一个端口广播出去。MAC地址泛洪 攻击者使用交换机的正常操作特性来阻止交换机正常工作。MAC地址泛洪只要网络攻击工具一直运行，交换机的 MAC 地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。欺骗攻击 攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应欺骗攻击要防止 DHCP 攻击，请使用 Cisco Catalyst 交换机上的 DHCP侦听和端口安全性功能。CDP 攻击 默认情况下，大多数 Ci

8、sco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP，则在设备上禁用 CDP。telnet攻击的类型：暴力密码攻击 Dos攻击抵御暴力密码攻击：-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击： 更新为最新版本的Cisco IOS软件4.2.1 风暴控制 在以太网网络中，广播数据是必然存在的，是一种正常的数据。但是，有时候因为网络蠕虫病毒、攻击者或者网络错误的配置等发送大量的广播，导致网络拥塞和报文传输超时，影响网络的正常通信，因此需要通过交换机来发现和限定这种异常流量（风暴流量）的发生，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常。缺省情

9、况下，Cisco二层交换机针对广播的风暴控制功能均被关闭。我们可以在交换机的接口模式下打开其广播的风暴控制开关。接口配置模式下通过命令no storm-control broadcast level来关闭接口相应的风暴控制功能。步骤命令含义步骤1Switch# configure terminal 进入全局配置模式。 步骤2Switch(config)#interface interface-id 进入接口配置模式。 步骤3Switch(config-if)#storm-control broadcast level x打开对广播风暴的控制功能，设置网络风暴阀值，数值是按百分比算的，如果你是百

10、兆口，数值设为1，那就代表1%步骤4Switch(config-if)#end 回到特权模式。 步骤5Switch# sh storm-control broadcast 验证配置。 步骤6Switch#copy running-config startup-config 保存配置。(可选) 显示风暴控制使能状态我们可以在特权模式下，通过show storm-control broadcast命令来查看接口的风暴控制使能状态。4.2.4 端口保护控制交换机的端口安全是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络限制端口接入

11、的设备数量，防止用户将过多的设备接入到网络中配置端口安全存在以下限制一个安全端口必须是一个Access端口，而非Trunk端口一个安全端口不能是一个聚合端口（Aggregate Port）一个安全端口不能是镜像（SPAN）的目的端口。步骤命令含义步骤1Switch# configure terminal 进入全局配置模式。 步骤2Switch(config)# interface interface-id 选定一个接口，并进入接口配置模式。 步骤3Switch(config-if)# switchport protected 将该接口设置为保护口 Switch(config-if)# no s

12、witchport protected取消该接口的保护口步骤4Switch(config-if)# end 退回到特权模式。 步骤5Switch# show interfaces switchport 验证配置 步骤6Switch# copy running-config startup-config 保存配置（可选）。 端口保护控制的配置步骤4.2.4 交换机端口安全如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。当违例产生时，有下面3种违例的处理模式：Protect：安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包Restrict：交换机不但丢弃接收到的帧（MA

13、C地址不在安全地址表中），而且将发送一个SNMP Trap报文，给网管Shutdown：交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMP Trap报文，而且将端口关闭。端口安全的配置打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式Switch(conifg-if)#switchport port-securitySwitch(conifg-if)# switchport port-security maximum numberSwitch(conifg-if)# switchport port-security violation protect |

14、 restrict | shutdown 端口安全默认配置 端口安全的配置配置安全端口上的安全地址配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态使用errdisable recovery命令后所有的违例端口都会被恢复设置端口从“err-disabled”状态自动恢复所等待的时间Switch(conifg-if)#switchport port-security mac-address mac-address ip-address ip-addressSwitch(conifg)#errdisable rec

15、overy /6.x版本模拟器上无此指令Switch(conifg)#errdisable recovery interval time配置端口安全配置安全地址的老化时间，时间过后地址更新关闭一个接口的安全地址老化功能（老化时间为0）使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchport port-security agingstatic | time time Switch(conifg-if)#no switchport port-security aging timeSwitch(conifg-if)#no switchport port-security aging static 查看端口安全信息显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以