CCNA笔记-交换机安全
2010-06-21 14:30
162 查看
一、 [/b]配置登陆安全[/b]
[/b]
1、 设置终端连接登陆console口或AUX口的时候需要用户名和密码
Username test password test
Line con 0
login local
exit
line aux 0
login local
exit
2、 由于一些企业对设备的安全要求比较高,不允许用telnet(因为telnet是用名文发送数据的),只允许用SSH,那么配置如下
Line vty 0 15
Transport input ssh(远程连接设备只用SSH,不用telnet,因为现在telnet命令并没有被列在这个命令中)
Access-list a.a.a.a(这个命令的意思是只允许a.a.a.a这个IP地址远程连接设备,当然也可以配置为只允许某个IP地址段远程连接设备)
二、 [/b]配置交换机端口安全[/b]
[/b]
1、允许那一些MAC地址可以被交换机学习到(个人谬见,这个做法最不好不要旅行,因为这样做的话,那么给管理员造成的负担将是难以想象的,将它写出来,只是为了开阔自己的视野,知道有这么一个技术)
端口配置模式下
Switchport port-security
Switchport port-security maxium10(该交换机允许学到的MAC地址数最大只能为10个,默认使用了这个命令后,允许最大的MAC地址数是1)
Switchport port-security violation protect/restrict/shutdown(这个命令的意思就是当违反了以上设定的条件,那么交换机的这个端口将出现的结果就是有三种选择protect/restrict/shutdown,默认的选择是shutdown,也就是当学习的MAC地址数超过了10后,那么交换机就会关闭该端口)
2、 将MAC地址静态的与交换机端口绑定,也就是说在这个端口,只允许你配置的MAC地址被学习到,其它的不允许学习
在端口配置模式下
Switchport port-security
Switchport port-security mac-address aaaa.bbbb.cccc
(这个命令的意思就是默认交换机的这个端口最大只能学习到一个MAC地址,并且这个MAC地址必须是aaaa.bbbb.cccc)
交换机在配置之前,它的CAM表里可能已经尝到了一些MAC地址,如果管理员认为这此MAC地址都是安全的,为了减少配置负担,管理员想将这些已经学习到的MAC地址配为安全的,可以用下面这个命令
Switchport port-security mac-address sticky
3、 相看目前f0/1端口的安全情况
Show port-security interface f0/1 或
Show port-security address
三、 [/b]配置VLAN安全[/b]
[/b]
1、 关闭那此未使用的接口
2、 单独配置一个VLAN,作为管理VLAN,
3、 将所有未使用的端口统一分配到一个VLAN里在,这个VLAN不能是默认的VLAN1
4、 在中继端口上面做手脚 ,比如说只允许某个或某几个VLAN可以通过中继端口
假如现在F0/1端口是中继端口
In f0/1
Switchport mode trunk
Switchport trunk allowed vlan 10-20,30(这个命令的意思就是只允许vlan10-20这个VLAN段以及vlan30这些个VLAN可以通过中继)
Switchport trunk allowed vlan add 100(在添加一个vlan100也可以通过中继)
Switchport trunk allowed vlan remove 100(将vlan100从中继中移除,不允许vlan100通过中继)
Switchport trunk allowed vlan except 60-70(除了vlan60-70,其它的VLAN都可以通过中继)
Show interfaces trunk(查看允许通过中继的VLAN情况)
本文出自 “菜鸟往前飞” 博客,请务必保留此出处http://kqpynn.blog.51cto.com/1315025/336653
[/b]
1、 设置终端连接登陆console口或AUX口的时候需要用户名和密码
Username test password test
Line con 0
login local
exit
line aux 0
login local
exit
2、 由于一些企业对设备的安全要求比较高,不允许用telnet(因为telnet是用名文发送数据的),只允许用SSH,那么配置如下
Line vty 0 15
Transport input ssh(远程连接设备只用SSH,不用telnet,因为现在telnet命令并没有被列在这个命令中)
Access-list a.a.a.a(这个命令的意思是只允许a.a.a.a这个IP地址远程连接设备,当然也可以配置为只允许某个IP地址段远程连接设备)
二、 [/b]配置交换机端口安全[/b]
[/b]
1、允许那一些MAC地址可以被交换机学习到(个人谬见,这个做法最不好不要旅行,因为这样做的话,那么给管理员造成的负担将是难以想象的,将它写出来,只是为了开阔自己的视野,知道有这么一个技术)
端口配置模式下
Switchport port-security
Switchport port-security maxium10(该交换机允许学到的MAC地址数最大只能为10个,默认使用了这个命令后,允许最大的MAC地址数是1)
Switchport port-security violation protect/restrict/shutdown(这个命令的意思就是当违反了以上设定的条件,那么交换机的这个端口将出现的结果就是有三种选择protect/restrict/shutdown,默认的选择是shutdown,也就是当学习的MAC地址数超过了10后,那么交换机就会关闭该端口)
2、 将MAC地址静态的与交换机端口绑定,也就是说在这个端口,只允许你配置的MAC地址被学习到,其它的不允许学习
在端口配置模式下
Switchport port-security
Switchport port-security mac-address aaaa.bbbb.cccc
(这个命令的意思就是默认交换机的这个端口最大只能学习到一个MAC地址,并且这个MAC地址必须是aaaa.bbbb.cccc)
交换机在配置之前,它的CAM表里可能已经尝到了一些MAC地址,如果管理员认为这此MAC地址都是安全的,为了减少配置负担,管理员想将这些已经学习到的MAC地址配为安全的,可以用下面这个命令
Switchport port-security mac-address sticky
3、 相看目前f0/1端口的安全情况
Show port-security interface f0/1 或
Show port-security address
三、 [/b]配置VLAN安全[/b]
[/b]
1、 关闭那此未使用的接口
2、 单独配置一个VLAN,作为管理VLAN,
3、 将所有未使用的端口统一分配到一个VLAN里在,这个VLAN不能是默认的VLAN1
4、 在中继端口上面做手脚 ,比如说只允许某个或某几个VLAN可以通过中继端口
假如现在F0/1端口是中继端口
In f0/1
Switchport mode trunk
Switchport trunk allowed vlan 10-20,30(这个命令的意思就是只允许vlan10-20这个VLAN段以及vlan30这些个VLAN可以通过中继)
Switchport trunk allowed vlan add 100(在添加一个vlan100也可以通过中继)
Switchport trunk allowed vlan remove 100(将vlan100从中继中移除,不允许vlan100通过中继)
Switchport trunk allowed vlan except 60-70(除了vlan60-70,其它的VLAN都可以通过中继)
Show interfaces trunk(查看允许通过中继的VLAN情况)
本文出自 “菜鸟往前飞” 博客,请务必保留此出处http://kqpynn.blog.51cto.com/1315025/336653
相关文章推荐
- [CCNA笔记_3]交换机
- 【小王CCNA系列之二】浅谈交换机安全
- CCNA入门---交换机端口安全的四种行为
- CCNA2.0笔记_安全管理设备
- 笔记-CCNA与网络安全 第9章 NAT和PAT
- 学习笔记之四_Cisco系统IOS和安全设备管理系统SDM(CCNA知识考点)
- CCNA入门---交换机端口安全的四种行为
- ccna学习笔记之九:清除交换机密码
- 笔记-CCNA与网络安全 第5章 静态路由
- CCNA培训课总结笔记--交换机的基本配置(十三)
- 笔记-CCNA与网络安全 第6章 动态路由
- 笔记-CCNA与网络安全 第1章 计算机网络
- CCNA交换机端口安全配置(1)
- 【CCNA学习笔记】网络安全
- CCNA网络工程师学习进程(5)路由器和交换机的登录安全配置和vlan划分
- 学习笔记之八_安全(CCNA知识考点)
- 笔记-CCNA与网络安全 第10章 IPv6(1)
- 笔记-CCNA与网络安全 第3章 IP地址(IPv4)
- CCNA培训课总结笔记--交换机的基本配置(十三)
- 笔记-CCNA与网络安全 第8章 网络安全