cisco交換機安全配置設(shè)定命令

cisco交換機安全配置設(shè)定命令大全

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供樂安網(wǎng)站建設(shè)、樂安做網(wǎng)站、樂安網(wǎng)站設(shè)計、樂安網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、樂安企業(yè)網(wǎng)站模板建站服務(wù)，十多年樂安做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

思科交換機的安全怎么設(shè)置，下面為大家分交換機安全設(shè)置的配置命令，希望對同學(xué)們學(xué)習(xí)思科交換機有所幫助!

一、交換機訪問控制安全配置

1、對交換機特權(quán)模式設(shè)置密碼盡量采用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建議不要采用enable password pass_sting密碼，破解及其容易!

2、設(shè)置對交換機明文密碼自動進行加密隱藏

switch(config)#service password-encryption

3、為提高交換機管理的靈活性，建議權(quán)限分級管理并建立多用戶

switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權(quán)模式的密碼

switch(config)#enable secret 5 pass_string15 /15級用戶進入特權(quán)模式的密碼

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/為7級，15級用戶設(shè)置用戶名和密碼，Cisco privilege level分為0-15級，級別越高權(quán)限越大

switch(config)#privilege exec level 7 commands

/為7級用戶設(shè)置可執(zhí)行的命令,其中commands可以根據(jù)分配給用戶的權(quán)限自行定義

4、本地console口訪問安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /設(shè)置不執(zhí)行命令操作的超時時間，單位為分鐘和秒

switch(config-line)#logging synchronous

/強制對彈出的干擾日志信息進行回車換行，使用戶輸入的命令連續(xù)可見

設(shè)置登錄console口進行密碼驗證

方式(1):本地認(rèn)證

switch(config-line)#password 7 pass_sting /設(shè)置加密密碼

switch(config-line)#login /啟用登錄驗證

方式(2):本地AAA認(rèn)證

switch(config)#aaa new-model /啟用AAA認(rèn)證

switch(config)#aaa authentication login console-in group acsserver local

enable

/設(shè)置認(rèn)證列表console-in優(yōu)先依次為ACS Server，local用戶名和密碼，enable特權(quán)密碼

switch(config)#line console 0

switch(config-line)# login authentication console-in

/調(diào)用authentication設(shè)置的console-in列表

5、遠(yuǎn)程vty訪問控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/設(shè)置標(biāo)準(zhǔn)訪問控制列表定義可遠(yuǎn)程訪問的PC主機

switch(config)#aaa authentication login vty-in group acsserver local

enable

/設(shè)置認(rèn)證列表vty-in, 優(yōu)先依次為ACS Server，local用戶名和密碼，enable特權(quán)密碼

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/為7級用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACS Server,local授權(quán)

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/為15級用戶定義vty-in授權(quán)列表，優(yōu)先依次為ACS Server,local授權(quán)

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在線路模式下調(diào)用前面定義的標(biāo)準(zhǔn)ACL 18

switch(config-line)#exec-timeout 5 0 /設(shè)置不執(zhí)行命令操作的超時時間，單位為分鐘和秒

switch(config-line)#authorization commands 7 vty-in /調(diào)用設(shè)置的授權(quán)列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/強制對彈出的干擾日志信息進行回車換行，使用戶輸入的命令連續(xù)可見

switch(config-line)#login authentication vty-in

/調(diào)用authentication設(shè)置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet協(xié)議不安全，僅允許通過ssh協(xié)議進行遠(yuǎn)程登錄管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /設(shè)置AAA服務(wù)器組名

switch(config-sg-tacacs+)#server x.x.x.x /設(shè)置AAA服務(wù)器組成員服務(wù)器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /設(shè)置同tacacs-server服務(wù)器通信的密鑰

二、交換機網(wǎng)絡(luò)服務(wù)安全配置

禁用不需要的各種服務(wù)協(xié)議

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/關(guān)閉http,https遠(yuǎn)程web管理服務(wù)，默認(rèn)cisco交換機是啟用的

三、交換機防攻擊安全加固配置

MAC Flooding(泛洪)和Spoofing(欺騙)攻擊

預(yù)防方法：有效配置交換機port-security

STP攻擊

預(yù)防方法：有效配置root guard,bpduguard,bpdufilter

VLAN，DTP攻擊

預(yù)防方法：設(shè)置專用的native vlan;不要的接口shut或?qū)⒍丝谀Ｊ礁臑閍ccess

DHCP攻擊

預(yù)防方法：設(shè)置dhcp snooping

ARP攻擊

預(yù)防方法：在啟用dhcp snooping功能下配置DAI和port-security在級聯(lián)上層交換機的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/啟用環(huán)路保護功能，啟用loop guard時自動關(guān)閉root guard

接終端用戶的端口上設(shè)定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交換機端口有5個狀態(tài)：disable、blocking、listening、learning、forwarding，只有處于forwarding狀態(tài)的端口才可以發(fā)送數(shù)據(jù)。但需經(jīng)過從blocking--listening

15s,listening--learning 15s,learning--forwarding 20s

共計50s的時間，啟用portfast后將直接從blocking--forwarding狀態(tài)，這樣大大縮短了等待的時間。

說明：portfast僅適用于連接終端或服務(wù)器的交換機端口，不能在連接交換機的端口上使用!

switch(config-if)#spanning-tree guard root

/當(dāng)一端口啟用了root

guard功能后，當(dāng)它收到了一個比根網(wǎng)橋優(yōu)先值更優(yōu)的.BPDU包，則它會立即阻塞該端口，使之不能形成環(huán)路等情況。這個端口特性是動態(tài)的，當(dāng)沒有收到更優(yōu)的包時，則此端口又會自己變成轉(zhuǎn)發(fā)狀態(tài)了。

switch(config-if)#spanning-tree bpdufilter enable

/當(dāng)啟用bpdufilter功能時，該端口將丟棄所有的bpdu包，可能影響網(wǎng)絡(luò)拓?fù)涞姆€(wěn)定性并造成網(wǎng)絡(luò)環(huán)路

switch(config-if)#spanning-tree bpduguard enable

/當(dāng)啟用bpduguard功能的交換機端口接收到bpdu時，會立即將該端口置為error-disabled狀態(tài)而無法轉(zhuǎn)發(fā)數(shù)據(jù)，進而避免了網(wǎng)絡(luò)環(huán)路!

注意：同時啟用bpduguard與bpdufilter時，bpdufilter優(yōu)先級較高，bpduguard將失效!

廣播、組播風(fēng)暴控制設(shè)定

switch(config-if)#storm-control broadcast level 10 /設(shè)定廣播的閥值為10%

switch(config-if)#storm-control multicast level 10 /設(shè)定組播的閥值為10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

云服務(wù)器（阿里云）的安全組設(shè)置

安全組 是一個ECS的重要安全設(shè)置，但對小白用戶來說卻很難理解其中晦澀難懂的專業(yè)術(shù)語。websoft9在此介紹個人的理解：

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。每個實例至少屬于一個安全組，在創(chuàng)建的時候就需要指定。

注解：簡單理解：服務(wù)器什么端口（服務(wù)）可以被訪問，什么端口可以被封鎖

例子：服務(wù)器80端口是用來提供http服務(wù)，如果服務(wù)器部署了網(wǎng)站，而沒有開放80端口，這個網(wǎng)站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的服務(wù)器有問題或購買的鏡像用不了。

遠(yuǎn)程連接（SSH）Linux 實例和遠(yuǎn)程桌面連接 Windows 實例可能會失敗。

遠(yuǎn)程 ping 該安全組下的 ECS 實例的公網(wǎng) IP 和內(nèi)網(wǎng) IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實例暴漏的 Web 服務(wù)可能會失敗。

該安全組下 ECS 實例可能無法通過內(nèi)網(wǎng)訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實例。

該安全組下 ECS 實例可能無法通過內(nèi)網(wǎng)訪問同地域下（或者同 VPC）的其他云服務(wù)。

該安全組下 ECS 實例可能無法訪問 Internet 服務(wù)。

當(dāng)用戶購買一個新的服務(wù)器的時候，阿里云會提醒選擇安全組，對于一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險。實際上，等級越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導(dǎo)致服務(wù)器ping不通、http打不開。這樣最常見的訪問都無法進行，用戶第一感覺就是購買的服務(wù)器有問題或購買的鏡像用不了。

在Websoft9客服工作中統(tǒng)計發(fā)現(xiàn)，96%的用戶瀏覽器http://公網(wǎng)IP 打不開首頁，都是因為安全組的設(shè)置關(guān)閉了80端口所導(dǎo)致。

第一，找到對應(yīng)的實例，通過安全組配置選項進入設(shè)置。

第二，點擊“配置規(guī)則”，進入安全組規(guī)則設(shè)置。

本地安全組策略命令是什么

本地安全組策略命令是gpedit.msc。

打開本地安全組策略的方法如下：

1、以win10為例，按win+R打開運行，在運行中輸入“gpedit.msc”并回車。

2、或者打開windows開始菜單，找到windows系統(tǒng)中的控制面板。

3、在控制面板中點擊右上角的類別，選擇大圖標(biāo)。

4、然后在改變后的控制面板中找到管理工具。

5、點擊管理工具中的本地安全策略即可。

Linux常用網(wǎng)絡(luò)配置命令

一、查看網(wǎng)絡(luò)配置

確保網(wǎng)絡(luò)配置的正確性及網(wǎng)絡(luò)連接的暢通是Linux系統(tǒng)作為服務(wù)器應(yīng)用的基礎(chǔ)，查看及測試網(wǎng)絡(luò)配置是管理Linux網(wǎng)絡(luò)服務(wù)的第一步。

1.ifconfig——查看網(wǎng)絡(luò)配置

1) 查看所有活動網(wǎng)絡(luò)接口的信息

執(zhí)行 ifconfig 或ip addr或ip a命令，都可以顯示當(dāng)前主機中已啟用（活動）的網(wǎng)絡(luò)接口信息。、

2) 查看指定網(wǎng)絡(luò)接口信息

格式：ifconfig 網(wǎng)絡(luò)接口名

可以通過TX、RX等信息了解到通過該網(wǎng)絡(luò)接口發(fā)送和接收的數(shù)據(jù)包個數(shù)，流量等跟多屬性。

2.hostname命令

在Linux系統(tǒng)中，相當(dāng)一部分網(wǎng)絡(luò)服務(wù)都會通過主機名來識別本機，如果主機名配置不當(dāng)，可能會導(dǎo)致程序功能出現(xiàn)故障。

1) 查看主機名

使用hostname命令就可以查看當(dāng)前主機的主機名，不添加任何選項參數(shù)。

2) 臨時更改主機名

hostname NewName

注：這種方法只是臨時的更改主機名，重啟后將失效。

3) 永久更改主機名

a. 修改配置文件

RHEL6和7的配置文件存放路徑不相同，修改配置文件中的主機名，重啟就可永久更改主機名。

RHEL6主機名配置文件路徑為：/etc/sysconfig/network

RHEL7主機名配置文件路徑為：/etc/hostname

示例

b. 使用命令修改（這種方法只適用于RHEL7或者CentOS7之后）

命令格式：

使用該命令更改后，更改后的主機名就自動寫入了配置文件中，所以可以永久更改主機名，其實就是修改了配置文件。

3.route命令

直接執(zhí)行route命令可以查看當(dāng)前主機中的路由表信息，若結(jié)合“-n”選項使用，可以將路由記錄中的地址顯示為數(shù)字形式，這可以跳過解析主機名的過程，在路由表條目較多的情況下能夠加快執(zhí)行速度。

Destination列對應(yīng)的是目標(biāo)網(wǎng)段的地址，Gateway列對應(yīng)的是嚇一跳路由器的地址，Iface列對應(yīng)的是發(fā)送數(shù)據(jù)的網(wǎng)絡(luò)接口。當(dāng)目標(biāo)網(wǎng)段為“default”是，表示此行是默認(rèn)網(wǎng)關(guān)記錄，當(dāng)嚇一跳為“*”是，表示目標(biāo)網(wǎng)段是與本機直接相連的。

4.netstat命令——查看系統(tǒng)的網(wǎng)絡(luò)連接狀態(tài)等

netstat命令是了解網(wǎng)絡(luò)狀態(tài)及排除網(wǎng)絡(luò)服務(wù)故障的有效工具。

常用選項:

-a：顯示所有活動連接（包括監(jiān)聽、非監(jiān)聽狀態(tài)的服務(wù)端口）

-n：以數(shù)字形式顯示

-p：顯示相關(guān)的進程信息

-t：查看 TCP 協(xié)議相關(guān)信息

-u：查看UDP協(xié)議相關(guān)信息

-r：顯示路由表信息

-l：顯示處于監(jiān)聽（listening）狀態(tài)的網(wǎng)絡(luò)連接及端口信息

通常使用“-anput”組合選項，結(jié)合管道使用“grep”命令，來查看一些服務(wù)的端口是否開啟。

示例：

Tcp21為ftp服務(wù)的端口

二、測試網(wǎng)絡(luò)連接

1.ping命令——測試網(wǎng)絡(luò)連通性

常用選項:

-c完成次數(shù)：設(shè)置完成要求回應(yīng)的次數(shù)

-i間隔秒數(shù)：指定收發(fā)信息的間隔時間

-q：不顯示指令執(zhí)行過程，開頭和結(jié)尾的相關(guān)信息除外

-s數(shù)據(jù)包大?。涸O(shè)置數(shù)據(jù)包的大小

-t存活數(shù)值：設(shè)置存活數(shù)值TTL的大小

-v：詳細(xì)顯示指令的執(zhí)行過程

若返回“Destination Host Unreachable”的反饋信息，則表示目標(biāo)主機不可達(dá)，可能目標(biāo)地址不存在或主機已關(guān)閉；返回“Network is unreachable”的反饋信息，則表示沒有可用的路由記錄（如默認(rèn)網(wǎng)關(guān)），無法到達(dá)目標(biāo)主機所在的網(wǎng)絡(luò)；返回“Request timeout”的反饋信息，表示與目標(biāo)主機間的連接超時（數(shù)據(jù)包緩慢或丟失），若有嚴(yán)格的防火墻限制，也可能返回此信息。

2.traceroute命令——跟蹤數(shù)據(jù)包的路由途徑

使用traceroute命令可以測試從當(dāng)前主機到目的主機之間經(jīng)過的網(wǎng)絡(luò)節(jié)點，并顯示各中間結(jié)點的連接狀態(tài)（響應(yīng)時間）。對于無法響應(yīng)的節(jié)點，連接狀態(tài)將顯示為“*”。

示例：traceroute IP_ADDR

在網(wǎng)絡(luò)測試與排錯的過程中，通常會先使用ping命令測試與主機的網(wǎng)絡(luò)連接，如果發(fā)現(xiàn)網(wǎng)絡(luò)有故障，再使用traceroute命令跟蹤查看是在哪個中間結(jié)點存在故障。

3.nslookup命令——測試DNS域名解析

nslookup是用來測試（DNS）域名解析的專用工具。（DNS服務(wù)后面再詳細(xì)講解，通俗的說就是將域名解析為ip地址的一個服務(wù)）

示例：nslookup

若成功反饋要查詢域名的IP地址，則表示域名解析沒有問題；若出現(xiàn)“...... no servers could be reached”的信息，表示不能連接到指定的DNS服務(wù)器；若出現(xiàn)“...... cant’t find xxx.yyy.zzz:NXDOMAIN”的信息，表示要查詢的域名不存在。

三、設(shè)置網(wǎng)絡(luò)地址參數(shù)

設(shè)置網(wǎng)絡(luò)參數(shù)的方法：

? 臨時配置 —— 使用命令調(diào)整網(wǎng)絡(luò)參數(shù)簡單、快速，可直接修改運行中的網(wǎng)絡(luò)參數(shù)

一般只適合在調(diào)試網(wǎng)絡(luò)的過程中使用

系統(tǒng)重啟以后，所做的修改將會失效

? 永久配置 —— 通過配置文件修改網(wǎng)絡(luò)參數(shù)修改各項網(wǎng)絡(luò)參數(shù)的配置文件

適合對服務(wù)器設(shè)置固定參數(shù)時使用

需要重載網(wǎng)絡(luò)服務(wù)或者重啟以后才會生效

1.臨時配置——使用網(wǎng)絡(luò)配置命令（注：RHEL6中網(wǎng)絡(luò)接口的名稱為eth，RHEL7中為ens）

1）使用ifconfig命令修改網(wǎng)卡的地址、狀態(tài)

ifconfig命令不僅可以用于查看網(wǎng)卡配置，還可以修改網(wǎng)卡的ip地址，子網(wǎng)掩碼，也可以綁定網(wǎng)絡(luò)接口、激活或停用網(wǎng)絡(luò)接口

a. 修改網(wǎng)卡的ip地址（臨時修改）

命令格式：

示例：

b. 禁用或者重新激活網(wǎng)卡

命令格式：

示例：

c. 設(shè)置虛擬網(wǎng)絡(luò)接口（相當(dāng)于一塊網(wǎng)卡配置多個IP地址）

命令格式：

示例：

可以根據(jù)需要添加更多的虛擬接口，如“eth0:1”“eth0:2”等

2）使用route命令添加、刪除靜態(tài)路由記錄

? 刪除路由表中的默認(rèn)網(wǎng)關(guān)記錄命令格式：route del default gw IP地址

? 向路由表中添加默認(rèn)網(wǎng)關(guān)記錄命令格式：route add default gw IP地址

? 添加到指定網(wǎng)段的路由記錄命令格式：route add -net 網(wǎng)段地址 gw IP地址

? 刪除到指定網(wǎng)段的路由記錄命令格式：router del -net 網(wǎng)段地址

2.永久配置——修改網(wǎng)絡(luò)配置文件

1）網(wǎng)絡(luò)接口配置文件

網(wǎng)絡(luò)接口的配置文件默認(rèn)位于目錄“/etc/sysconfig/network-scripts/”中，文件名格式為：“ifcfg-XXX”，其中“XXX”是網(wǎng)絡(luò)接口的名稱。例如：RHEL6中網(wǎng)卡eth0的配置文件是“ifcfg-eth0”，而RHEL7中網(wǎng)卡ens33的配置文件是“ifcfg-ens33”。

在網(wǎng)卡的配置文件中，可以看到靜態(tài)IP地址的部分內(nèi)容如下圖所示：

上述個配置項的含義及作用：（圖示為RHEL6中的配置文件，7中也差不多，換湯不換藥，修改的都差不多）

? DEVICE：設(shè)置網(wǎng)絡(luò)接口的名稱ONBOOT：設(shè)置網(wǎng)絡(luò)接口是否在Linux系統(tǒng)啟動時激活BOOTPROTO：設(shè)置網(wǎng)絡(luò)接口的配置方式，值為static時表示使用靜態(tài)ip地址，為dhcp時表示通過dhcp的方式動態(tài)獲取ip地址IPADDR：設(shè)置網(wǎng)絡(luò)接口的ip地址NETMASK：設(shè)置網(wǎng)絡(luò)接口的子網(wǎng)掩碼GATEWAY：設(shè)置網(wǎng)絡(luò)接口的默認(rèn)網(wǎng)關(guān)地址2）重啟 network 網(wǎng)絡(luò)服務(wù)

當(dāng)修改了網(wǎng)絡(luò)接口的配置文件以后，若要使新的配置生效，可以重啟network服務(wù)或者重啟主機或者禁用、啟用網(wǎng)絡(luò)接口。

示例：

? RHEL6中重啟network服務(wù)：service network restartRHEL7中重啟network服務(wù)：systemctl restart network注：這是我在做實驗時候的一個經(jīng)驗：RHEL6修改完網(wǎng)卡配置重啟后，ip地址仍然沒有改過來，這時候我們經(jīng)常會刪除“/etc/udev/rules.d/70-persistent-net.rules”這個文件。RHEL7不用管，RHEL7特別好改，RHEL6改的時候特別難受。（個人提示，不求認(rèn)同）

3）域名解析配置文件

a.指定為本機提供DNS解析的服務(wù)器地址

/etc/resolv.conf文件中記錄了本機默認(rèn)使用的DNS服務(wù)器的地址信息，對該文件所做的修改將會立刻生效。Linux系統(tǒng)中最多可以指定3個（第3個以后將被忽略）不同的DNS服務(wù)器地址，優(yōu)先使用第1個DNS服務(wù)器。

示例：

其中“search localdomain”用來設(shè)置默認(rèn)的搜索域（域名后綴）。例如，當(dāng)訪問主機“l(fā)ocalhost”時，就相當(dāng)于訪問“l(fā)ocalhost.localdomain”。

b.本地主機映射文件

/etc/hosts文件中記錄著一份主機名與ip地址的映射關(guān)系表，一般用來保存經(jīng)常訪問的主機信息。當(dāng)訪問一個未知的域名時，先查找該文件中是否有相應(yīng)的映射記錄，如果找不到在去向DNS服務(wù)器查詢。

hosts 文件和 DNS 服務(wù)器的比較

? 默認(rèn)情況下，系統(tǒng)首先從 hosts 文件查找解析記錄hosts 文件只對當(dāng)前的主機有效hosts 文件可減少 DNS 查詢過程，從而加快訪問速度