CCNA笔记－交换机安全

一、  配置登陆安全

 

1、 设置终端连接登陆console口或AUX口的时候需要用户名和密码

Username test password test

Line con 0

login local

exit

line aux 0

login local

exit

2、 由于一些企业对设备的安全要求比较高，不允许用telnet（因为telnet是用名文发送数据的），只允许用SSH，那么配置如下

Line vty 0 15

Transport input ssh （远程连接设备只用SSH，不用telnet，因为现在telnet命令并没有被列在这个命令中）

Access-list a.a.a.a （这个命令的意思是只允许a.a.a.a这个IP地址远程连接设备，当然也可以配置为只允许某个IP地址段远程连接设备）

 

二、      配置交换机端口安全

 

1 、允许那一些MAC地址可以被交换机学习到（个人谬见，这个做法最不好不要旅行，因为这样做的话，那么给管理员造成的负担将是难以想象的，将它写出来，只是为了开阔自己的视野，知道有这么一个技术）

端口配置模式下

Switchport port-security

Switchport port-security maxium10 （该交换机允许学到的MAC地址数最大只能为10个，默认使用了这个命令后，允许最大的MAC地址数是1）

Switchport port-security violation protect/restrict/shutdown （这个命令的意思就是当违反了以上设定的条件，那么交换机的这个端口将出现的结果就是有三种选择protect/restrict/shutdown，默认的选择是shutdown，也就是当学习的MAC地址数超过了10后，那么交换机就会关闭该端口）

2、 将MAC地址静态的与交换机端口绑定，也就是说在这个端口，只允许你配置的MAC地址被学习到，其它的不允许学习

在端口配置模式下

Switchport port-security

Switchport port-security mac-address aaaa.bbbb.cccc

（这个命令的意思就是默认交换机的这个端口最大只能学习到一个MAC地址，并且这个MAC地址必须是aaaa.bbbb.cccc）

交换机在配置之前，它的CAM表里可能已经尝到了一些MAC地址，如果管理员认为这此MAC地址都是安全的，为了减少配置负担，管理员想将这些已经学习到的MAC地址配为安全的，可以用下面这个命令

Switchport port-security mac-address sticky

3、 相看目前f0/1端口的安全情况

Show port-security interface f0/1  或

Show port-security address

 

三、      配置VLAN安全

 

1、 关闭那此未使用的接口

2、 单独配置一个VLAN，作为管理VLAN，

3、 将所有未使用的端口统一分配到一个VLAN里在，这个VLAN不能是默认的VLAN1

4、 在中继端口上面做手脚 ，比如说只允许某个或某几个VLAN可以通过中继端口

假如现在F0/1端口是中继端口

In f0/1

Switchport mode trunk

Switchport trunk allowed vlan 10-20,30 （这个命令的意思就是只允许vlan10-20这个VLAN段以及vlan30这些个VLAN可以通过中继）

Switchport trunk allowed vlan add 100 （在添加一个vlan100也可以通过中继）

Switchport trunk allowed vlan remove 100 （将vlan100从中继中移除，不允许vlan100通过中继）

Switchport trunk allowed vlan except 60 －70（除了vlan60-70，其它的VLAN都可以通过中继）

Show interfaces trunk （查看允许通过中继的VLAN情况）