思科交换机安全配置包括AAA端口安全ARP安全DHCP侦听日志审计流量限制

网络拓扑图如下：根据图示连接设备。在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。IP 地址分配：Router：e0： 192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254 Vlan20: 172.16.20.254 Vlan30: 172.16.30.254 Access vlan10: 172.16.10.253 Vlan20: 172.16.20.253 Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址： PC1：192.168.10.1 PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname 一、OFFICE 区域地址静态分配，防止 OFFICE 网络发生 ARP 攻击，不允许 OFFICE 网段 PC 互访；STUDENTS 区 域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置SW1的配置：SW1(config)#vtp domain cisco /SW1配置vtp，模式为server，SW2模式为clientSW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 /链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 /链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10 SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunkSW2(config)#int f0/1 /把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 /要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 /禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 /对其他数据放行，不然pc机无法ping通svi口、网关SW2(config-access-map)#action forward SW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、 Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplist SW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 /ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust 注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。其实全网没有起OSPF协议，PC机也是可以ping通路由器，此处发生了ARP代理。起OSPF是为了DHCP地址的分配。SW1(config)#ip routing /打开路由功能SW1(config)#int f0/1SW1(config-if)#no switchport /把二层接口转换为三层接口SW1(config-if)#ip add 192.168.1.2 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#int f0/2SW1(config-if)#no switchport SW1(config-if)#ip add 192.168.2.2 255.255.255.0SW1(config-if)#no shutSW1(config)#router ospf 1SW1(config-router)#netSW1(config-router)#network 192.168.1.0 0.0.0.255 a 0SW1(config-router)#net 192.168.10.254 0.0.0.0 a 0R(config)#router ospf 1R(config-router)#net 192.168.1.0 0.0.0.255 a 0配置DHCP：Router(config)#ip dhcp 1Router(dhcp-config)#network 192.168.10.0 255.255.255.0Router(dhcp-config)#default-router 192.168.10.254 /返回地址，本环境中指向vlan 20的svi接口地址。Router(dhcp-config)#dns-server 8.8.8.8Router(dhcp-config)#exitRouter(config)#ip dhcp excluded-address 192.168.10.1 /去除一些地址Router(config)#ip route 0.0.0.0 0.0.0.0 e0然后在sw1中配置DHCP代理，代理下一跳地址为DHCP入接口，进入vlan 20配置svi接口，地址为192.168.20.254注意：Router(config)#ip route 0.0.0.0 0.0.0.0 e0 /如果不想写这条，就必须要把关掉路由功能，不然pc机无法获取ip地址关掉路由功能命令为no ip routing.然后在pc上进入接口，设置为DHCP获取地址,命令如下：int f0/1ip add dhcp查看结果：5、Student区域ARP防护：SW2配置如下：ip dhcp snooping /开启DHCP侦听ip dhcp snooping vlan 20int range f0/1,f0/2 ip dhcp snooping limit rate 5 /限制DHCP请求包数量，此处为5ip verify source port-security exit int port-channel 10 ip dhcp snooping trust /设置信任端口然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下：pc1(config)#int e0/0 pc1(config-if)#mac-address 0007.8562.9de36、AAA认证：服务器地址为：192.168.30.1s1(config-vlan)#int vlan 30 /创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为192.168.30.1，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ip add 192.168.30.254 255.255.255.0s1(config)#int f0/5s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30s2(config)#int vlan 30s2(config-if)#ip add 192.168.30.253 255.255.255.0s2(config-if)#exits2(config)#aaa new-model /AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host 192.168.30.1 auth-port 1812 accts2(config)#$er host 192.168.30.1 auth-port 1812 acct-port 1813 key cisco /cisco为秘钥s2(config)#line vty 0 4 /用户认证时使用虚拟链路s2(config-line)#login authentication vtylogins2(config-line)#exits2(config)#dot1x system-auth-control s2(config)#int f0/1 /进入端口，把端口配置为认证模式，即只有认证成功端口才会打开s2(config-if)#authentication port-control autos2(config-if)#dot1x pae authenticator 在sw2上验证一些账号密码是否可用，如：123123 与aaa 111，结果如下：二、在交换机上开启生成树安全机制，接入层交换机不能成为根，接入接口快速收敛；当OFFICE区域接口接入交换 机后进入正常的生成树状态。STUDENTS区域接口接入交换机后直接down；1、查看sw1中vlan 10的生成树信息：把sw2的优先级改为0（即最优先），命令如下：s2(config)#spanning-tree vlan 10 priority 0再次查看sw1中vlan 10的生成树信息，可以发现sw1已经不是根了然后在sw1中配置根防护：s1(config)#no spanning-tree vlan 1,10,20,30 root primary /设置为主根s1(config)#int port-channel 10s1(config-if)#spanning-tree guard root /根防护可以看到sw1又成为根，并且sw1的根不会被抢占，即使sw2的优先级比较高。快速端口：s2(config)#int range f0/1,f0/2spanning-tree portfast2、BPDU防护：s2(config)#int range f0/1,f0/2s2(config-if-range)#spanning-tree bpduguard enable /交换机guard状态，收到bpdu数据包端口直接关掉我们把f0/2接口从pc机中拔出，接入到交换机，会出现以下结果：三、管理员可以安全管理和监控所有网络设备，并能查看时间可靠的日志信息； 1、telnet防护：保证telnet协议传输的协议都是密文，即使被获取也无法解密配置如下:username cisco password sovand /新建用户名、密码ip domain name cisco crypto key generate rsa /导入RSA算法line vty 0 4transport input ssh /使用ssh加密login local /使用本地用户名密码2、SNMP监控：SW1配置：s1(config)#snmp-server host 192.168.30.1 set /日志存储地点s1(config)#snmp-server community set rw /权限为读写s1(config)#snmp-server community get ro /权限为只读SW2配置同上四、管理员PC监控所有的出口流量，并且限制每个接入层接接口的广播包每秒不得超过 100个。 SPAN:对出口双向流量做映射到f0/4口： s1(config)#monitor session 1 source int f0/1 both /镜像源端口，即监控端口s1(config)#monitor session 1 destination int f0/2 /镜像备份端口，即镜像发往目标端口限制每个接入层接接口的广播包每秒不得超过100个 对接入交换机端口限制广播包数量，超过100个则将接口down掉： s2(config)#int rangef0/1-4s2(config-if-range)#storm-control broadcast level pps 100 50 /50是单低于50的时候就恢复 s2(config-if-range)#storm-control action shutdown