CCNP 簡單交換安全
1.NTP:網絡時間協議
show clock (查看時間)
clock set 時:分:秒 月份 日期 年份(修改時間)
R1(config)# ntp master (成爲ntp服務器,默認爲8 可修改即直接加數字 。代表從該server處學習時間後,等級加1;若等級爲16將不能傳遞)
R2(config)##ntp server R1的ip地址 (被server同步;當本地被serve同步後,將自動成爲次級時鐘;可以同步其他設備,前提等級小於16;)
R3(config)#ntp peer 前一個路由器的IP地址(被次級時鐘同步)
2.防禦mac地址攻擊
1.簡單的端口安全服務
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 只有access接口可以配置端口安全服務
Switch(config-if)#switchport port-security 先開啓端口安全服務
Switch(config-if)#switchport port-security mac-address
H.H.H 手寫mac地址
Switch(config-if)#switchport port-security mac-address
sticky 自動粘連地址
注:以上兩種代表該接口已經"記住"該pc的mac地址非記錄中的無法連接。
Switch(config-if)#switchport port-security maximum 10 最大地址數量
注:該接口一共可以連接10臺不同的pc。
Switch(config-if)#switchport port-security violation protect 修改違約後的處理方案爲當非法MAC出現時不轉發流量,不關閉接口
Switch(config-if)#switchport port-security violation restrict 修改違約後的處理方案爲當非法MAC出現時不轉發流量,不關閉接口但同時向網絡中的SNMP(簡單的網絡管理)服務器發送日誌。
Switch(config-if)#switchport port-security violation shutdown 修改違約後的處理方案爲邏輯關閉,同時也是默認的處理方案;
2.靜態cam
switch(config)#mac address-table static aaaa.aaaa.aaaa vlan 1 drop 該mac地址若在vlan1中出將被丟棄
3.vacl 可以基於IP地址或者MAC地址進行訪問控制
1)抓流量
core(config)#mac access-list extended ccsp
core(config-ext-macl)#permit host aaaa.aaaa.aaaa any
2)配置VACL
core(config)#vlan access-map ccie 10
core(config-access-map)#match mac address ccsp
core(config-access-map)#action drop
core(config-access-map)#exit
3)調用
core(config)#vlan filter ccie vlan-list 1 該VACL在vlan 1中生效
注:不會影響其他vlan的流量
3、基於時間的ACL表
r1(config)#time-range cisco 創建時間列表cisco
r1(config-time-range)#absolute start 00:00 1 aug 2014 end 00:00 1 aug 2015 定義總時間範圍
r1(config-time-range)#periodic daily 9:00 to 12:00
r1(config-time-range)#periodic daily 13:30 to 16:00
r1(config)#access-list 100 deny ip 172.16.10.0 0.0.0.255 any time-range cisco
r1(config)#access-list 100 permit ip any any
4、基於vlan的攻擊
PVLAN
主vlan
次vlan—1、社團vlan 2、隔離vlan
通訊規則;
1、隔離vlan和社團vlan不能通訊
2、隔離vlan內PC間不能互訪
3、社團vlan內PC間可以互訪
4、所有PC均可同主vlan下設備互訪
Cisco3560以上含3560交換機可以配置PVLAN;
1)配置時VTP模式必須爲透明
2)創建各種vlan間的關聯
3)端口需要劃分到向對應的vlan中
sw(config)#vlan 2
sw(config-vlan)#private-vlan primary
sw(config-vlan)#exit
sw(config)#vlan 202
sw(config-vlan)#private-vlan isolated
sw(config-vlan)#exit
sw(config)#vlan 203
sw(config-vlan)#private-vlan community
sw(config-vlan)#exit
sw(config)#vlan 2
sw(config-vlan)#private-vlan association 202,203
sw(config)#interface e0/1 主vlan所在接口
sw(config-if)#switchport mode private-vlan promiscuous
sw(config-if)#switchport private-vlan mapping 2 202-203
sw(config)#interface range e0/2 -3 次vlan–隔離vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 202
sw(config)#interface range e0/4 -5 次vlan–社團vlan
sw(config-if-range)#switchport mode private-vlan host
sw(config-if-range)#switchport private-vlan host-association 2 203
注:必須在開啓路由功能的情況下,纔可以工作;
在3350和29系列交換機上無法配置PVLAN,但可以使用端口保護功能;
core(config)#interface f0/1
core(config-if)#switchport protected
被保護接口間不能通訊
按照上面的配置進行,則pc1,pc2僅能與pc4進行訪問。pc3,pc4,pc5,可以互相訪問。
5.CDP:cisco設備發現協議
sw#show cdp neighbors (查看周圍設備)
Device ID Local Intrfce Holdtme Capability Platform Port ID
pc3 Eth 0/2 166 R Linux Uni Eth 0/0
pc2 Eth 0/1 145 R Linux Uni Eth 0/0
pc1 Eth 0/0 150 R Linux Uni Eth 0/0
CDP的流量每60s將傳遞該直連,其中攜帶部分敏感信息;故,接入層應該關閉該協議
sw(config)#no cdp run 全局關閉
sw(config)#interface e0/1
sw(config-if)#no cdp enable 關閉某一個接口
6.SSH:安全外殼協議
其中SSH登錄的設備IOS版本必須攜帶字母K,支持安全屬性配置
r1(config)#username ccna privilege 15 secret cisco
r1(config)#line vty 0 4
r1(config-line)#login local
在開啓遠程登錄服務後,設備上只要生產祕鑰庫,即可被SSH登錄
r1(config)#ip domain name cisco.com (任意命名)
r1(config)#crypto key generate rsa general-keys 默認生成512長度
r1(config)#crypto key generate rsa general-keys modulus 1024
注:此時設備telnet和SSH登錄均可
r1(config)#line vty 0 4
r1(config-line)#transport input ssh 僅允許SSH登錄
使用一臺路由器來ssh登錄另一臺路由器
r2#ssh -l ccna 1.1.1.1
Password: