第4章-交换机安全配置交换机安全配置课件

第四章

交换机安全配置第四章交换机安全配置培养目标通过本章的学习，希望您能够：掌握思科IOS的口令验证方式及配置方法掌握交换机端口安全原理及配置方法培养目标通过本章的学习，希望您能够：管理配置CiscoIOS设备第4章-交换机安全配置交换机安全配置课件限制设备访问——配置口令使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法

必须从本地为每台设备配置口令以限制访问。

在此介绍的口令有：-控制台口令—用于限制人员通过控制台连接访问设备

-使能口令—用于限制人员访问特权执行模式

-使能加密口令—经加密，用于限制人员访问特权执行模式

-VTY口令—用于限制人员通过Telnet访问设备限制设备访问——配置口令使用机柜和上锁的机架限制人员实际限制设备访问——配置口令Switch(config)#lineconsole0Switch(config-line)#passwordpasswordSwitch(config-line)#login限制设备访问——配置口令Switch(config)#l限制设备访问——配置口令请尽可能使用enablesecret命令，而不要使用较老版本的enablepassword命令。enablesecret命令可提供更强的安全性，因为使用此命令设置的口令会被加密。enablepassword命令仅在尚未使用enablesecret命令设置口令时才能使用。Router(config)#enablepasswordpasswordRouter(config)#enablesecretpasswordRouter(config)#linevty04Router(config-line)#passwordpasswordRouter(config-line)#login限制设备访问——配置口令请尽可能使用enablese限制设备访问——配置口令和使用标语限制设备访问——配置口令和使用标语限制设备访问——配置口令加密显示口令它可在用户配置口令后使口令加密显示。servicepassword-encryption命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。Router(config)#servicepassword-encryption

限制设备访问——配置口令加密显示口令4.1.6配置特权等级

通过设置口令保护和划分特权级别来实现网络管理的灵活性和安全性，是控制网络上的终端访问和管理交换机的最简单办法。用户级别范围是0~15级，级别0是最低的级别。交换机设备系统只有两个受口令保护的授权级别：普通用户级别（0级）和特权用户级别（15级）。

用户模式只有Show的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、删除配置。在实际情况下，如果给一个管理人员分配用户模式权限，可能不能满足实际操作需求，但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。使用特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。4.1.6配置特权等级通过设置口令保护和划分特Switch(config)#usernameusernameprivilegelevelpasswordpassword设置管理人员的登录用户名、密码和相应的特权等级Switch(config)#privilegemodelevellevelcommand设置命令的级别划分。

mode代表命令的模式，有：configure表示全局配置模式、exec表示特权命令模式、interface表示接口配置模式等等。

level代表授权级别，范围从0到15。level1是普通用户级别，level15是特权用户级别，在各用户级别间切换可以使用enable命令。

command代表要授权的命令。注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。Switch(config)#usernameusern4.2交换机端口安全控制4.2交换机端口安全控制准备知识（二）

常见针对交换机的安全攻击MAC地址泛洪-主机A向主机B发送流量。交换机收到帧，并在其MAC地址表中查找目的MAC地址。如果交换机在MAC地址表中无法找到目的MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。准备知识（二）

常见针对交换机的安全攻击MAC地址泛洪MAC地址泛洪

主机B收到帧并向主机A发送响应。交换机随后获知主机B的MAC地址位于端口2，并将该信息写入MAC地址表。主机C也收到从主机A发到主机B的帧，但是因为该帧的目的MAC地址为主机B，因此主机C丢弃该帧。MAC地址泛洪MAC地址泛洪由主机A（或任何其它主机）发送给主机B的任何帧都转发到交换机的端口2，而不是从每一个端口广播出去。MAC地址泛洪MAC地址泛洪攻击者使用交换机的正常操作特性来阻止交换机正常工作。MAC地址泛洪MAC地址泛洪只要网络攻击工具一直运行，交换机的MAC地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机A发送到主机B的帧也会从交换机上的端口3向外广播。MAC地址泛洪欺骗攻击攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应欺骗攻击欺骗攻击要防止DHCP攻击，请使用CiscoCatalyst交换机上的DHCP侦听和端口安全性功能。欺骗攻击CDP攻击默认情况下，大多数Cisco路由器和交换机都启用了CDP。建议如果设备不需要使用CDP，则在设备上禁用CDP。CDP攻击telnet攻击的类型：暴力密码攻击

Dos攻击抵御暴力密码攻击：-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击：更新为最新版本的CiscoIOS软件telnet攻击的类型：4.2.1风暴控制

在以太网网络中，广播数据是必然存在的，是一种正常的数据。但是，有时候因为网络蠕虫病毒、攻击者或者网络错误的配置等发送大量的广播，导致网络拥塞和报文传输超时，影响网络的正常通信，因此需要通过交换机来发现和限定这种异常流量（风暴流量）的发生，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常。4.2.1风暴控制在以太网网络中，广播数据缺省情况下，Cisco二层交换机针对广播的风暴控制功能均被关闭。我们可以在交换机的接口模式下打开其广播的风暴控制开关。接口配置模式下通过命令nostorm-controlbroadcastlevel来关闭接口相应的风暴控制功能。步骤命令含义步骤1Switch#configureterminal进入全局配置模式。

步骤2Switch(config)#interfaceinterface-id进入接口配置模式。

步骤3Switch(config-if)#storm-controlbroadcastlevelx打开对广播风暴的控制功能，设置网络风暴阀值，数值是按百分比算的，如果你是百兆口，数值设为1，那就代表1%步骤4Switch(config-if)#end回到特权模式。

步骤5Switch#

shstorm-controlbroadcast

验证配置。

步骤6Switch#copyrunning-configstartup-config保存配置。(可选)缺省情况下，Cisco二层交换机针对广播的风暴控制功能均被关显示风暴控制使能状态我们可以在特权模式下，通过showstorm-controlbroadcast命令来查看接口的风暴控制使能状态。显示风暴控制使能状态我们可以在特权模式下，通过showst4.2.4端口保护控制交换机的端口安全是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络限制端口接入的设备数量，防止用户将过多的设备接入到网络中配置端口安全存在以下限制一个安全端口必须是一个Access端口，而非Trunk端口一个安全端口不能是一个聚合端口（AggregatePort）一个安全端口不能是镜像（SPAN）的目的端口。4.2.4端口保护控制交换机的端口安全步骤命令含义步骤1Switch#configureterminal进入全局配置模式。

步骤2Switch(config)#interfaceinterface-id选定一个接口，并进入接口配置模式。

步骤3Switch(config-if)#switchportprotected将该接口设置为保护口

Switch(config-if)#noswitchportprotected取消该接口的保护口步骤4Switch(config-if)#end

退回到特权模式。

步骤5Switch#showinterfacesswitchport

验证配置

步骤6Switch#copyrunning-configstartup-config保存配置（可选）。

端口保护控制的配置步骤步骤命令含义步骤1Switch#configureter4.2.4交换机端口安全如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。当违例产生时，有下面3种违例的处理模式：Protect：安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包Restrict：交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文，给网管Shutdown：交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。4.2.4交换机端口安全如果用户操作超出端口安全允许的操作端口安全的配置打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}端口安全的配置打开该接口的端口安全功能Switch(coni端口安全默认配置

端口安全的配置端口安全默认配置端口安全的配置配置安全端口上的安全地址配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态使用errdisablerecovery命令后所有的违例端口都会被恢复设置端口从“err-disabled”状态自动恢复所等待的时间Switch(conifg-if)#switchportport-security[mac-addressmac-address[ip-addressip-address]Switch(conifg)#errdisablerecovery//6.x版本模拟器上无此指令Switch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址Switch(conifg-if)#配置端口安全配置安全地址的老化时间，时间过后地址更新关闭一个接口的安全地址老化功能（老化时间为0）使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

配置端口安全配置安全地址的老化时间，时间过后地址更新Swit查看端口安全信息显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

查看端口安全信息Router#showport-secur在CiscoCatalyst交换机上配置端口安全性

端口安全的配置在CiscoCatalyst交换机上配置端口安全性端口安全验证端口安全性

端口安全的配置验证端口安全性端口安全的配置针对常见安全攻击禁用未使用的端口一种简单方法是禁用网络交换机上所有未使用的端口，这样做可保护网络，使其免受未经授权的访问。针对常见安全攻击禁用未使用的端口？AnyQuestion？AnyQuestion第四章

交换机安全配置第四章交换机安全配置培养目标通过本章的学习，希望您能够：掌握思科IOS的口令验证方式及配置方法掌握交换机端口安全原理及配置方法培养目标通过本章的学习，希望您能够：管理配置CiscoIOS设备第4章-交换机安全配置交换机安全配置课件限制设备访问——配置口令使用机柜和上锁的机架限制人员实际接触网络设备是不错的做法

必须从本地为每台设备配置口令以限制访问。

在此介绍的口令有：-控制台口令—用于限制人员通过控制台连接访问设备

-使能口令—用于限制人员访问特权执行模式

-使能加密口令—经加密，用于限制人员访问特权执行模式

-VTY口令—用于限制人员通过Telnet访问设备限制设备访问——配置口令使用机柜和上锁的机架限制人员实际限制设备访问——配置口令Switch(config)#lineconsole0Switch(config-line)#passwordpasswordSwitch(config-line)#login限制设备访问——配置口令Switch(config)#l限制设备访问——配置口令请尽可能使用enablesecret命令，而不要使用较老版本的enablepassword命令。enablesecret命令可提供更强的安全性，因为使用此命令设置的口令会被加密。enablepassword命令仅在尚未使用enablesecret命令设置口令时才能使用。Router(config)#enablepasswordpasswordRouter(config)#enablesecretpasswordRouter(config)#linevty04Router(config-line)#passwordpasswordRouter(config-line)#login限制设备访问——配置口令请尽可能使用enablese限制设备访问——配置口令和使用标语限制设备访问——配置口令和使用标语限制设备访问——配置口令加密显示口令它可在用户配置口令后使口令加密显示。servicepassword-encryption命令对所有未加密的口令进行弱加密。当通过介质发送口令时，此加密手段不适用，它仅适用于配置文件中的口令。此命令的用途在于防止未经授权的人员查看配置文件中的口令。Router(config)#servicepassword-encryption

限制设备访问——配置口令加密显示口令4.1.6配置特权等级

通过设置口令保护和划分特权级别来实现网络管理的灵活性和安全性，是控制网络上的终端访问和管理交换机的最简单办法。用户级别范围是0~15级，级别0是最低的级别。交换机设备系统只有两个受口令保护的授权级别：普通用户级别（0级）和特权用户级别（15级）。

用户模式只有Show的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、删除配置。在实际情况下，如果给一个管理人员分配用户模式权限，可能不能满足实际操作需求，但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。使用特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。4.1.6配置特权等级通过设置口令保护和划分特Switch(config)#usernameusernameprivilegelevelpasswordpassword设置管理人员的登录用户名、密码和相应的特权等级Switch(config)#privilegemodelevellevelcommand设置命令的级别划分。

mode代表命令的模式，有：configure表示全局配置模式、exec表示特权命令模式、interface表示接口配置模式等等。

level代表授权级别，范围从0到15。level1是普通用户级别，level15是特权用户级别，在各用户级别间切换可以使用enable命令。

command代表要授权的命令。注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。Switch(config)#usernameusern4.2交换机端口安全控制4.2交换机端口安全控制准备知识（二）

常见针对交换机的安全攻击MAC地址泛洪-主机A向主机B发送流量。交换机收到帧，并在其MAC地址表中查找目的MAC地址。如果交换机在MAC地址表中无法找到目的MAC，则交换机将复制帧并将其从每一个交换机端口广播出去。准备知识（二）

常见针对交换机的安全攻击MAC地址泛洪MAC地址泛洪

主机B收到帧并向主机A发送响应。交换机随后获知主机B的MAC地址位于端口2，并将该信息写入MAC地址表。主机C也收到从主机A发到主机B的帧，但是因为该帧的目的MAC地址为主机B，因此主机C丢弃该帧。MAC地址泛洪MAC地址泛洪由主机A（或任何其它主机）发送给主机B的任何帧都转发到交换机的端口2，而不是从每一个端口广播出去。MAC地址泛洪MAC地址泛洪攻击者使用交换机的正常操作特性来阻止交换机正常工作。MAC地址泛洪MAC地址泛洪只要网络攻击工具一直运行，交换机的MAC地址表就会始终保持充满。当发生这种情况时，交换机开始将所有收到的帧从每一个端口广播出去，这样一来，从主机A发送到主机B的帧也会从交换机上的端口3向外广播。MAC地址泛洪欺骗攻击攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应欺骗攻击欺骗攻击要防止DHCP攻击，请使用CiscoCatalyst交换机上的DHCP侦听和端口安全性功能。欺骗攻击CDP攻击默认情况下，大多数Cisco路由器和交换机都启用了CDP。建议如果设备不需要使用CDP，则在设备上禁用CDP。CDP攻击telnet攻击的类型：暴力密码攻击

Dos攻击抵御暴力密码攻击：-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员抵御暴力密码攻击：更新为最新版本的CiscoIOS软件telnet攻击的类型：4.2.1风暴控制

在以太网网络中，广播数据是必然存在的，是一种正常的数据。但是，有时候因为网络蠕虫病毒、攻击者或者网络错误的配置等发送大量的广播，导致网络拥塞和报文传输超时，影响网络的正常通信，因此需要通过交换机来发现和限定这种异常流量（风暴流量）的发生，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常。4.2.1风暴控制在以太网网络中，广播数据缺省情况下，Cisco二层交换机针对广播的风暴控制功能均被关闭。我们可以在交换机的接口模式下打开其广播的风暴控制开关。接口配置模式下通过命令nostorm-controlbroadcastlevel来关闭接口相应的风暴控制功能。步骤命令含义步骤1Switch#configureterminal进入全局配置模式。

步骤2Switch(config)#interfaceinterface-id进入接口配置模式。

步骤3Switch(config-if)#storm-controlbroadcastlevelx打开对广播风暴的控制功能，设置网络风暴阀值，数值是按百分比算的，如果你是百兆口，数值设为1，那就代表1%步骤4Switch(config-if)#end回到特权模式。

步骤5Switch#

shstorm-controlbroadcast

验证配置。

步骤6Switch#copyrunning-configstartup-config保存配置。(可选)缺省情况下，Cisco二层交换机针对广播的风暴控制功能均被关显示风暴控制使能状态我们可以在特权模式下，通过showstorm-controlbroadcast命令来查看接口的风暴控制使能状态。显示风暴控制使能状态我们可以在特权模式下，通过showst4.2.4端口保护控制交换机的端口安全是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络限制端口接入的设备数量，防止用户将过多的设备接入到网络中配置端口安全存在以下限制一个安全端口必须是一个Access端口，而非Trunk端口一个安全端口不能是一个聚合端口（AggregatePort）一个安全端口不能是镜像（SPAN）的目的端口。4.2.4端口保护控制交换机的端口安全步骤命令含义步骤1Switch#configureterminal进入全局配置模式。

步骤2Switch(config)#interfaceinterface-id选定一个接口，并进入接口配置模式。

步骤3Switch(config-if)#switchportprotected将该接口设置为保护口

Switch(config-if)#noswitchportprotected取消该接口的保护口步骤4Switch(config-if)#end

退回到特权模式。

步骤5Switch#showinterfacesswitchport

验证配置

步骤6Switch#copyrunning-configstartup-config保存配置（可选）。

端口保护控制的配置步骤步骤命令含义步骤1Switch#configureter4.2.4交换机端口安全如果用户操作超出端口安全允许的操作范围，这种现象称之为违例。当违例产生时，有下面3种违例的处理模式：Protect：安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包Restrict：交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文，给网管Shutdown：交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。4.2.4交换机端口安全如果用户操作超出端口安全允许的操作端口安全的配置打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}端口安全的配置打开该接口的端口安全功能S