思科交換機腳本
① cisco交換機安全配置設定命令
cisco交換機安全配置設定命令大全
思科交換機的安全怎麼設置,下面為大家分交換機安全設置的配置命令,希望對同學們學習思科交換機有所幫助!
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要採用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議許可權分級管理並建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高許可權越大
switch(config)#privilege exec level 7 commands
/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local
enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in
/調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/設置標准訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local
enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in
/調用authentication設置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰
二、交換機網路服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的介面shut或將埠模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的埠上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機埠有5個狀態:disable、blocking、listening、learning、forwarding,只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共計50s的時間,啟用portfast後將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用於連接終端或伺服器的交換機埠,不能在連接交換機的埠上使用!
switch(config-if)#spanning-tree guard root
/當一埠啟用了root
guard功能後,當它收到了一個比根網橋優先值更優的.BPDU包,則它會立即阻塞該埠,使之不能形成環路等情況。這個埠特性是動態的,當沒有收到更優的包時,則此埠又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpfilter enable
/當啟用bpfilter功能時,該埠將丟棄所有的bp包,可能影響網路拓撲的穩定性並造成網路環路
switch(config-if)#spanning-tree bpguard enable
/當啟用bpguard功能的交換機埠接收到bp時,會立即將該埠置為error-disabled狀態而無法轉發數據,進而避免了網路環路!
注意:同時啟用bpguard與bpfilter時,bpfilter優先順序較高,bpguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
② 如何腳本方式批量修改交換機配置文件
如果真的想去使用好交換機配置文件,那麼就因該在對交換機配置文件進行任何更改之前,進行備份工作,這樣會使得交換機配置文件變得更完美,也避免一些問題的發生。
想要有效地管理交換機配置文件,就是要在適當的時候、適當的地點及時運行命令。通過使用命令,IOS軟體能夠將配置文件從一個組件或者設備移動到其他需要的組件與設備上去。
這個命令主要有兩參數,第一個參數表示配置文件的源位置,即需要被復制的文件。第二個參數表示目標位置,即要將這個配置文件復制到哪個地方。如使用 running-config tftp命令,就可以將運行配置文件復制到網路上的TFTP伺服器來進行配置。
不過在復制的時候,需要注意,如果目標位置有相同的配置文件,則這個命令會將目標文件中相同名字的配置文件覆蓋掉。不過這句話說其來容易,做起來可是比較難。具體來說,需要做到一下幾點。
首先,當RAM中的運行交換機配置文件進行更改之後,需要將最新的運行配置文件進行備份。這主要是因為RAM內存中的內容斷電後會丟失。如果網路管理員希望在交換機運行過程中對其進行的更改,在交換機下次啟動的時候仍然有效。
那麼就需要將這個更改的內容保存在啟動配置文件中。如果要實現這個目的,可以通過使用命令 running-config startup-config。這個命令的含義就是將運行配置文件保存到啟動交換機配置文件中。如此的話,就會將交換機的最近更新的內容保存了下來。
其次需要注意的是,在將RAM中的運行配置文件復制到NVRAM中的時候,需要先確保當前配置的准確性。也就是說,當我們修改了RAM中的運行配置文件相關參數之後,一般不會急著將相關的內容復制到NVRAM中。
而是需要先對其進行測試與追蹤,以判斷新設置的參數是否符合我們預計的需求。也就是要判斷新參數是否起作用了,是否滿足用戶的需要。只有確保新配置的參數運行正常的情況下,才能夠將這個更新保存到啟動配置文件中。
否則的話,萬一這個參數設置有錯誤,那麼在下次啟動的時候就可能會出現問題。為了安全起見,最好在將運行配置文件復制到NVRAM中的時候,能夠先對NVRAM中內容進行備份。
這主要是因為在使用 running-config startup-config命令的時候,命令會自動覆蓋目標位置的啟動配置文件。此時如果運行配置文件有錯誤,那麼連神仙也回天無力了。為此筆者建立網路管理員,在管理配置文件的時候,要小心又小心,寧可多走一步。
如在保存更新之前,先將原先的啟動配置文件在tftp伺服器上備份一份。如此的話,即使最近的配置有問題,而網路管理員又保存了的話,也可以利用備份後的配置文件來啟動交換機。
要完成這個功能,網路管理員可以運行命令 start tftp(將啟動配置文件保存到TFTP伺服器上)。如果啟動配置文件有問題的話,還可以使用 tftp start命令,將備份的配置文件復制到NVRAM中,讓交換機使用這個配置文件來進行初始化。
第三,除了在NVRAM與tftp伺服器之間可以相互復制之外,在RAM與tftp伺服器之間也可以進行相互的復制。如網路管理員更新了交換機配置文件的某個參數,如設置了虛擬區域網。
此時可能在短時間內很難判斷當前的配置是否准確。可能需要運行一個星期甚至更長的時間才能夠做出判斷。此時最好不要輕易的去更新啟動配置文件中的內容。筆者建議的方法是先將RAM中的運行配置文件復制到tftp伺服器中,實現一個暫時的過渡。
當確定配置沒有問題後,再將這個運行配置文件復制、替換掉啟動配置文件,以保存最新的可用更新。要實現這個需求的話,可以使用命令 run tftp(將運行配置文件復制到tftp伺服器上)或者使用命令 tftp run(將tftp伺服器上的配置文件復制到ram中去)這兩個命令來實現。
筆者最好強調一遍,怎麼配置運行配置文件或者初始參數文件涉及到很多內容,具有很大的難度。但是如果管理配置文件,則這個命令是核心。而使用好這個命令的關鍵,就是在對交換機配置文件進行任何更改之前,進行備份。並在確保更新內容可用之後,及時將其保存到斷電後不易丟失的NVRAM中或者網路的tftp伺服器上。