思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图以下：依据图示连结设施。在本次试验中，详细端口状况如上图数字标出。核心互换机（core）设置为s1或许SW1，汇聚层互换机（access）设置为s2或许SW2。IP地址分派：Router：e0：：f0/1:接口：Corevlan10:Vlan20:Vlan30:Accessvlan10:Vlan20:Vlan30:服务器IP地址：区域网段地址：PC1：PC2：路由器清空配置命令：enerasestartup-configReload互换机清空配置命令：enerasestartup-configdeleteReload加快命令：enconftnoipdomainlookuplinecon0exec-timeout00loggingsynhostname一、OFFICE地区地址静态分派，防备OFFICE网络发生ARP攻击，不同意OFFICE网段PC互访；STUDENTS地区主机输入正确的学号和密码后接入网络，自动获得地址，阻挡STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtpdomaincisco而后在pc长进入接口，设置为DHCP获得地址,命令以下：intf0/1ipadddhcp查察结果：5、Student地区ARP防备：SW2配置以下：ipdhcpsnooping//开启DHCP侦听ipdhcpsnoopingvlan20intrangef0/1,f0/2ipdhcpsnoopinglimitrate5//限制DHCP恳求包数目，此处为5ipverifysourceport-securityexitintport-channel10ipdhcpsnoopingtrust//设置相信端口而后改正pc1的mac地址，就能够发现端口down状态，改正mac地址命令以下：pc1(config)#inte0/0pc1(config-if)#mac-address、AAA认证：服务器地址为：vlan30//创立vlan30的原由：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ipaddf0/5s1(config-if)#switchportmodeaccesss1(config-if)#switchportaccessvlan30s2(config)#intvlan30s2(config-if)#ipaddnew-model//AAA配置位于接入层互换机，因此核心互换机sw1连结服务器的接口不需要配置IP地址s2(config)#aaaauthenticationloginvtylogingroupradiuss2(config)#radius-serverhostauth-port1812accts2(config)#$erhost

auth-port1812acct-port1813keycisco

//cisco

为秘钥s2(config)#linevty04s2(config-line)#loginauthenticationvtylogins2(config-line)#exits2(config)#dot1xsystem-auth-control

//用户认证时使用虚构链路s2(config)#int

f0/1

//进入端口，把端口配置为认证模式，即只有认证成功端口才会翻开s2(config-if)#authenticationport-controlautos2(config-if)#dot1xpaeauthenticator在sw2上考证一些账号密码能否可用，如：123123与aaa111，结果以下：二、在互换机上开启生成树安全体制，接入层互换机不可以成为根，接入接口快速收敛；当OFFICE地区接口接入互换机后进入正常的生成树状态。STUDENTS地区接口接入互换机后直接down；1、查察sw1中vlan10的生成树信息：把sw2的优先级改为0（即最优先），命令以下：s2(config)#spanning-treevlan10priority0再次查察sw1中vlan10的生成树信息，能够发现sw1已经不是根了而后在sw1中配置根防备：s1(config)#nospanning-treevlan1,10,20,30rootprimary//设置为主根s1(config)#intport-channel10s1(config-if)#spanning-treeguardroot//根防备能够看到sw1又成为根，而且sw1的根不会被抢占，即便sw2的优先级比较高。迅速端口：s2(config)#intrangef0/1,f0/2spanning-treeportfast2、BPDU防备：s2(config)#intrangef0/1,f0/2s2(config-if-range)#spanning-treebpduguardenable//互换机guard状态，收到bpdu数据包端口直接关掉我们把f0/2接口从pc机中拔出，接入到互换机，会出现以下结果：三、管理员能够安全管理和监控全部网络设施，并能查察时间靠谱的日记信息；1、telnet防备：保证telnet协议传输的协议都是密文，即便被获得也没法解密配置以下:usernameciscopasswordsovand//新建用户名、密码ipdomainnameciscocryptokeygeneratersa//导入RSA算法linevty04transportinputssh//使用ssh加密loginlocal//使用当地用户名密码2、SNMP监控：SW1配置：s1(config)#snmp-serverhostset//日记储存地址s1(config)#snmp-servercommunitysetrw//权限为读写s1(config)#snmp-servercommunitygetro//权限为只读SW2配置同上四、管理员PC监控全部的出口流量，而且限制每个接入层接接口的广播包每秒不得超出100个。SPAN:对出口双向流量做映照到

f0/4

口：s1(config)#monitorsession1sourceintf0/1both

//镜像源端口，即监控端口s1(config)#monitorsession1destinationintf0/2

//镜像备份端口，即镜像发往目标端口限制每个接入层接接口的广播包每秒不得超出

100个对接入互换机端口限制广播包数目，超出

100个则将接口

down掉：