CCNA笔记－交换机安全

一、 [/b]配置登陆安全[/b]
[/b]
1、 设置终端连接登陆console口或AUX口的时候需要用户名和密码
Username test password test
Line con 0
login local
exit
line aux 0
login local
exit
2、 由于一些企业对设备的安全要求比较高，不允许用telnet（因为telnet是用名文发送数据的），只允许用SSH，那么配置如下
Line vty 0 15
Transport input ssh（远程连接设备只用SSH，不用telnet，因为现在telnet命令并没有被列在这个命令中）
Access-list a.a.a.a（这个命令的意思是只允许a.a.a.a这个IP地址远程连接设备，当然也可以配置为只允许某个IP地址段远程连接设备）

二、 [/b]配置交换机端口安全[/b]
[/b]
1、允许那一些MAC地址可以被交换机学习到（个人谬见，这个做法最不好不要旅行，因为这样做的话，那么给管理员造成的负担将是难以想象的，将它写出来，只是为了开阔自己的视野，知道有这么一个技术）
端口配置模式下
Switchport port-security
Switchport port-security maxium10（该交换机允许学到的MAC地址数最大只能为10个，默认使用了这个命令后，允许最大的MAC地址数是1）
Switchport port-security violation protect/restrict/shutdown（这个命令的意思就是当违反了以上设定的条件，那么交换机的这个端口将出现的结果就是有三种选择protect/restrict/shutdown，默认的选择是shutdown，也就是当学习的MAC地址数超过了10后，那么交换机就会关闭该端口）
2、 将MAC地址静态的与交换机端口绑定，也就是说在这个端口，只允许你配置的MAC地址被学习到，其它的不允许学习
在端口配置模式下
Switchport port-security
Switchport port-security mac-address aaaa.bbbb.cccc
（这个命令的意思就是默认交换机的这个端口最大只能学习到一个MAC地址，并且这个MAC地址必须是aaaa.bbbb.cccc）
交换机在配置之前，它的CAM表里可能已经尝到了一些MAC地址，如果管理员认为这此MAC地址都是安全的，为了减少配置负担，管理员想将这些已经学习到的MAC地址配为安全的，可以用下面这个命令
Switchport port-security mac-address sticky
3、 相看目前f0/1端口的安全情况
Show port-security interface f0/1 或
Show port-security address

三、 [/b]配置VLAN安全[/b]
[/b]
1、 关闭那此未使用的接口
2、 单独配置一个VLAN，作为管理VLAN，
3、 将所有未使用的端口统一分配到一个VLAN里在，这个VLAN不能是默认的VLAN1
4、 在中继端口上面做手脚 ，比如说只允许某个或某几个VLAN可以通过中继端口
假如现在F0/1端口是中继端口
In f0/1
Switchport mode trunk
Switchport trunk allowed vlan 10-20,30（这个命令的意思就是只允许vlan10-20这个VLAN段以及vlan30这些个VLAN可以通过中继）
Switchport trunk allowed vlan add 100（在添加一个vlan100也可以通过中继）
Switchport trunk allowed vlan remove 100（将vlan100从中继中移除，不允许vlan100通过中继）
Switchport trunk allowed vlan except 60－70（除了vlan60-70，其它的VLAN都可以通过中继）
Show interfaces trunk（查看允许通过中继的VLAN情况）

本文出自 “菜鸟往前飞” 博客，请务必保留此出处http://kqpynn.blog.51cto.com/1315025/336653