網絡交換機配置常見命令
網絡交換機配置常見命令
計算機網絡的高速發展,網絡應用需求量不斷增加,基于TCP/IP的以太網交換機和路由器成為不可缺少的通信設備.下面是學習啦小編跟大家分享的是網絡交換機配置常見命令,歡迎大家來閱讀學習。
網絡交換機配置常見命令
中國館交換機安全審計規范1
1交換機配置的安全2
1.1口令的安全性2
1.2口令加密服務2
1.3權限分級策略3
1.4VTY的訪問控制3
1.5配置端口的超時4
1.6VTP協議加密5
1.7路由協議加密5
1.8限制路由協議泛洪6
2交換機網絡服務安全配置7
2.1CDP協議7
2.2HTTP服務7
2.3BOOTP服務8
2.4SNMP配置安全9
2.5Figner服務10
2.6IP源路由10
3日志及信息管理11
3.1啟用日志服務器11
3.2Banner信息12
4交換機接口安全12
4.1Proxy ARP12
4.2IP Redirects13
4.3關閉IP Unreachable Messages14
4.4配置Portfast和BPDU Guard14
4.5配置端口安全15
4.6配置DHCP監聽16
4.7配置ARP防護17
4.8配置IP Source Guard19
4.9關閉未使用接口20
5控制層面安全管理20
5.1COPP(Control Plane Protection)20
1 交換機配置的安全
1.1 口令的安全性
Ø 風險級別
高
Ø 風險描述
攻擊者可能利用暴力猜解口令登錄交換機。
Ø 檢查方法
詢問交換機管理人員口令長度與復雜度。
Ø 推薦值
口令長度應大于8位,且應由數字、字母、符號,三者相混合。
Ø 加固方法
在特權模式下使用enable secret命令更改口令。
Ø 注意事項
無
1.2 口令加密服務
Ø 風險級別
高
Ø 風險描述
未使用口令加密服務會對所有具有查看配置的用戶暴露除secret口令以外的任何口令。
Ø 檢查方法
使用show run命令查看配置文件,是否存在service password-encryption字段。
Ø 推薦值
使用口令加密服務。
Ø 加固方法
在特權模式下,使用service password-encryption命令開啟口令加密服務。
Ø 注意事項
無。
1.3 權限分級策略
Ø 風險級別
底
Ø 風險描述
單用戶的登陸配置方式可能會對口令和用戶的管理帶來不便。
Ø 檢查方法
使用show run命令,查看是否建立了不同權限的配置用戶。
Ø 推薦值
對不同角色,如:日志審計員、網絡管理員等,建立不同權限的用戶。
Ø 加固方法
在ACS上,建立不同權限的用戶。
Ø 注意事項
需要網絡管理員根據實際情況進行添加。
1.4 VTY的訪問控制
Ø 風險級別
中
Ø 風險描述
非授權的配置地址來源會訪問到交換機,為惡意的攻擊者提供了暴力猜解口令機會。
Ø 檢查方法
使用show run命令,查看是否建立了相應的ACL列表如:access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log,以及是否在VTY端口上應用,如:access-class 101 in。
Ø 推薦值
設定特定的IP地址訪問交換機。
Ø 加固方法
在特權模式下使用access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log命令設定授權IP地址的訪問控制策略,進入VTY接口,使用access-class 101 in命令應用該策略。
Ø 注意事項
需要網絡管理員確定授權的IP地址,且該IP地址可以訪問交換機。
1.5 配置端口的超時
Ø 風險級別
高
Ø 風險描述
管理員的疏忽可能會造成非授權者查看或修改交換機配置。
Ø 檢查方法
使用show run命令,查看con、vty、AUX端口是否配置了超時,如:exec-timeout 5 0。
Ø 推薦值
設置超時不大于5分鐘。
Ø 加固方法
分別進入con端口、VTY端口、AUX端口,使用exec-timeout 5 0命令配置端口超時。
Ø 注意事項
無
1.6 VTP協議加密
Ø 風險級別
高
Ø 風險描述
可以讓攻擊者通過VTP協議學習到網絡VLAN,從而進行二層網絡攻擊。
Ø 檢查方法
使用show vtp password檢查密碼是否配置。
Ø 推薦值
口令長度應大于8位,且應由數字、字母、符號,三者相混合。
Ø 加固方法
全局模式下
vtp password xxxxxxx。
Ø 注意事項
無
1.7 路由協議加密
Ø 風險級別
高
Ø 風險描述
攻擊者可以利用OSPF路由協議自動協商鄰居的特性學習到整網拓撲。
Ø 檢查方法
使用show run檢查OSPF相關配置。
Ø 推薦值
口令長度應大于8位,且應由數字、字母、符號,三者相混合。
Ø 加固方法
全局模式下
router ospf 100
area 0 authentication message-digest
接口模式下
ip ospf message-digest-key 1 md5 xxxxxxxx
Ø 注意事項
無
1.8 限制路由協議泛洪
Ø 風險級別
高
Ø 風險描述
攻擊者可以利用OSPF路由協議自動協商鄰居的特性學習到整網拓撲。
Ø 檢查方法
使用show run interface vlan xxx檢查。
Ø 推薦值
關閉網關接口泛洪LSA的特性。
Ø 加固方法
接口模式下
ip ospf database-filter all out
Ø 注意事項
僅在網關接口配置。
2 交換機網絡服務安全配置
2.1 CDP協議
Ø 風險級別
底
Ø 風險描述
蓄意攻擊者可能通過截取CDP包分析交換機的相關信息。
Ø 檢查方法
使用show cdp run 命令查看CDP協議的開啟情況。
Ø 推薦值
不使用CDP協議,如無法避免則應指定端口發布CDP包。
Ø 加固方法
在接口模式下
no cdp enable
Ø 注意事項
僅在接入層交換機access接口下配置。
2.2 HTTP服務
Ø 風險級別
高
Ø 風險描述
惡意攻擊者可以利用交換機開啟的HTTP服務發起攻擊從而影響交換機性能。
Ø 檢查方法
使用show run命令,查看配置中相應的http server字段。
Ø 推薦值
關閉http服務。
Ø 加固方法
在特權模式下
no ip http server
Ø 注意事項
無
2.3 BOOTP服務
Ø 風險級別
中
Ø 風險描述
惡意攻擊者可以利用該服務發起DDOS攻擊。
Ø 檢查方法
使用show run命令,查看配置中相應的BOOTP字段。
Ø 推薦值
關閉BOOTP服務。
Ø 加固方法
在特權模式下
no ip bootp server
Ø 注意事項
無
2.4 SNMP配置安全
Ø 風險級別
高
Ø 風險描述
惡意攻擊者可以利用默認的SNMP通信字截獲交換機管理信息,甚至可以通過SNMP管理破壞交換機配置。
Ø 檢查方法
使用show run命令,查看配置中相應的snmp字段。
Ø 推薦值
修改默認的public、private通信字。
Ø 加固方法
在特權模式下使用命令snmp-server community XXX ro命令設定只讀通信字,使用snmp-server community XXX rw命令設定讀寫通信字。
Ø 注意事項
相關使用SNMP的網管軟件或安全監控平臺通信字需一并進行修改。
2.5 Figner服務
Ø 風險級別
中
Ø 風險描述
UNIX用戶查找服務,允許遠程列出系統用戶的信息,有助于幫助攻擊者收集用戶信息,建議關閉。
Ø 檢查方法
使用show run命令,查看配置中相應的Figner字段。
Ø 推薦值
關閉Figner服務。
Ø 加固方法
在特權模式下
no ip finger
no service finger
Ø 注意事項
無
2.6 IP源路由
Ø 風險級別
中
Ø 風險描述
IP source routing功能的開啟允許數據包本身指定傳輸路徑,對攻擊者來說好的特性,攻擊者可以通過該功能跳躍NAT設備,進入內網。
Ø 檢查方法
使用show run命令,查看配置中相應的字段。
Ø 推薦值
關閉IP源路由。
Ø 加固方法
在特權模式下
no ip source-route
Ø 注意事項
僅三層設備上配置
3 日志及信息管理
3.1 啟用日志服務器
Ø 風險級別
低
Ø 風險描述
沒有審計日志可能會對網絡的監控,突發事件的處理帶來不便。
Ø 檢查方法
使用show run命令查看配置文件中的logging字段。
Ø 推薦值
開啟交換機日志審計,并且設定日志服務器。
Ø 加固方法
在特權模式下使用logging on、logg facility local6命令開啟審計日志功能,使用logg X.X.X.X命令指定日志服務器和CiscoWorks。
Ø 注意事項
首先需要在系統內建立日志服務器和CiscoWorks。
3.2 Banner信息
Ø 風險級別
低
Ø 風險描述
帶有敏感信息的banner可能會給蓄意攻擊者提供交換機信息。
Ø 檢查方法
使用show run命令查看banner信息。
Ø 推薦值
不顯示交換機的信息,如:交換機型號、軟件、所有者等。
Ø 加固方法
在特權模式下使用banner命令設定信息。
Ø 注意事項
無。
4 交換機接口安全
4.1 Proxy ARP
Ø 風險級別
中
Ø 風險描述
三層網關作為第二層地址解析的代理,代理ARP功能如果使用不當會對網絡造成影響。
Ø 檢查方法
使用show run interface vlan XXX命令查看。
Ø 推薦值
關閉Proxy ARP
Ø 加固方法
在接口模式下
no ip proxy-arp
Ø 注意事項
配置在各匯聚層交換機上,僅在用戶網關上關閉Proxy ARP服務。
4.2 IP Redirects
Ø 風險級別
中
Ø 風險描述
三層設備會對特定的包發送ICMP REDIRECT MESSAGE,對攻擊者來說,有助于了解網絡拓撲,對非可信的網絡關閉。
Ø 檢查方法
使用show run interface vlan xxx命令查看。
Ø 推薦值
關閉ip redirects。
Ø 加固方法
在接口模式下
no ip redirects
Ø 注意事項
配置在各匯聚層交換機上,僅在用戶網關上關閉ip redirects服務。
4.3 關閉IP Unreachable Messages
Ø 風險級別
中
Ø 風險描述
如果發送者的目標地址不可達,三層設備會通告原因給發送方,對于攻擊者來說,可以了解網絡信息,并且利用該特性發出的大量的錯誤目地包,將會導致交換機CPU利用率升高,對交換機進行DOS攻擊。
Ø 檢查方法
使用show run interface vlan XXX命令查看。
Ø 推薦值
關閉ip unreachables
Ø 加固方法
在接口模式下
no ip unreachables
Ø 注意事項
配置在各匯聚層交換機上,僅在用戶網關上關閉ip unreachables服務。
4.4 配置Portfast和BPDU Guard
Ø 風險級別
高
Ø 功能描述
在交換機的配置中,對連接主機的端口應該啟用spanning-tress portfast和portfast bpduguard功能。啟用portfast功能后,端口的狀態會從blocking直接進入到forwarding,能夠大大縮短一個端口從連接到轉發的時間周期。啟用portfast bpduguard功能,當portfast端口上受到BPDU時,會自動關閉端口,可以避免網絡邊緣“非法”交換機的連接和HUB的串聯。
Ø 檢查方法
使用show run interface fx/x/x命令查看。
Ø 推薦值
開啟portfast和bpduguard
Ø 加固方法
在接口模式下使用
spanning-tree portfast
spanning-tree bpduguard enable
Ø 注意事項
僅在接入層交換機access接口下配置
4.5 配置端口安全
Ø 風險級別
高
Ø 功能描述
建議在所有access端口上使用端口安全特性,防止MAC地址泛洪,MAC地址欺騙等常見二層攻擊,該特性可實現如下功能。
l 包括限制端口上最大可以通過的MAC地址數量
l 端口上學習或通過特定MAC地址
l 對于超過規定數量的MAC處理進行違背處理
Ø 檢查方法
使用show run interface fx/x/x,show port-security命令查看。
Ø 推薦值
開啟端口安全
Ø 加固方法
在接口模式下使用
switchport port-security //開啟端口安全功能//
switchport port-security violation restrict //將來自未受權主機的幀丟棄//
switchport port-security aging static //設置MAC永不超時//
switchport port-security mac-address 0010.c6ce.0e86 //靜態綁定MAC//
Ø 注意事項
僅在接入層交換機access接口下配置
4.6 配置DHCP監聽
Ø 風險級別
高
Ø 功能描述
采用DHCP可以自動為用戶設置網絡IP地址,掩碼,網關,DNS,WINS等網絡參數,簡化了用戶網絡中設置,提高了管理效率。由于DHCP的重要性,正對DHCP的攻擊會對網絡造成嚴重影響。DHCP的攻擊主要包括兩種:
l DHCP服務器的冒充:(假冒DHCP服務器加入網絡)
l 針對DHCP服務器的DOS攻擊:(攻擊者發出洪水般的DHCP請求知道DHCP服務器資源耗竭)
DHCP Snooping描述
針對這兩種攻擊,Cisco交換機支持DHCP snooping功能對DHCP的保護
DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可以信任的DHCP信息,這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址,IP地址,租用期,VLAN ID等接口信息,DHCP Snooping并且能提供DHCP必要的保護。
Ø 檢查方法
使用show ip dhcp snooping,show run命令查看配置中相應的字段。
Ø 推薦值
開啟DHCP Snooping
Ø 加固方法
全局命令
ip dhcp snooping//全局啟動dhcp snooping//
ip dhcp snooping vlan 301-331,535-549 //定義對哪些VLAN進行DHCP監聽//
在接口模式下
ip dhcp snooping trust//一般連接DHCP服務器和交換機上連端口//
no ip dhcp snooping trust //接口默認為非信任接口,無法接受DHCP respone信息,這樣可以杜絕非法DHCP Server接入內網//
ip dhcp snooping limit rate 30 //定義dhcp包的轉發速率(每秒數據包數PPS),超過就接口就shutdown,默認不限制//
Ø 注意事項
僅在接入層就交換機上配置,交換機上連端口以及連接DHCP服務器的端口需配置成Trust接口
4.7 配置ARP防護
Ø 風險級別
高
Ø 功能描述
ARP協議是在TCP/IP協議棧中最常用的協議,但由于ARP協議自身設計的缺陷,基于ARP的攻擊成為攻擊者最為常用的一種攻擊手段,簡單而有效。常見的ARP攻擊有ARP欺騙和ARP泛洪兩種。
DAI描述
思科Dynamic ARP Inspection(DAI)在交換機上提供IP地址和MAC地址的綁定,并動態建立綁定關系。DAI以DHCP Snooping綁定表為基礎,對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置正對VLAN,對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。通過這些技術可以防范“中間人”攻擊。
配置DAI后:
在配置DAI技術的接口上,用戶端采用靜態指定地址的方式接入網絡
由于DAI檢查DHCP Snooping綁定表中的IP和MAC對應關系,ARP欺騙攻擊。
DAI默認對ARP請求報文做了速度限制,客戶端無法進行人為或者病毒進行的IP掃描,探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。
配置了DAI后用戶獲取IP地址后,用戶不能修改IP或MAC,因為dhcp綁定表中有了合法的IP和MAC以及端口的對應關系,如果你用靜態的話修改之后發ARP請求時因為啟用了DAI,所以會檢測ARP請求包中的IP和MAC對應關系,當發現對應表中不一致的IP MAC對應時,將發不出ARP請求。
注意:DAI只檢查ARP包。
Ø 檢查方法
使用show ip arp inspection,show run命令查看配置中相應的字段。
Ø 推薦值
開啟ARP inspection
Ø 加固方法
全局命令
ip arp inspection vlan 301-331,545-549 //定義對哪些VLAN進行ARP檢測//
ip arp inspection validate src-mac ip //檢查ARP包中的源MAC和IP//
在接口模式下
ip arp inspection trust//一般連接交換機上連端口//
no ip arp inspection trust //接口默認為非信任接口,檢查所有ARP數據包//
ip arp inspection limit rate 30 //定義接口每秒 ARP 報文數量,超過的話接口就errordisable //
Ø 注意事項
僅在接入層交換機山配置,交換機上連端口需配置成Trust接口。
4.8 配置IP Source Guard
Ø 風險級別
高
Ø 功能描述
IP Source Guard技術配置在交換機上僅支持2層端口上的配置,通過下面的機制可以防范IP/MAC欺騙:
l IP Source Guard使用DHCP Snooping綁定表信息。
l 配置在交換機端口上,并對該端口生效。
l IP Souce Guard運作機制類似DAI,但是IP Source Guard不僅僅檢查ARP報文,(DAI只檢查ARP報文)所有經過定義IP Source Guard檢查的端口的報文都要檢測。
l IP Source Guard檢查接口所通過的流量的IP地址和MAC地址是否在DHCP Snooping綁定表,如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務器支持Option 82,同時使用網絡設備需支持Option 82信息。
Ø 檢查方法
使用show run inertface X/X/X命令查看配置中相應的字段。
Ø 推薦值
開啟IP Source Guard
Ø 加固方法
在接口模式下
ip verify source port-security //在端口啟用ip source guard //
Ø 注意事項
僅接用戶端口配置,連接服務器或打印機端口不配
4.9 關閉未使用接口
Ø 風險級別
高
Ø 功能描述
防止非法人員接入網絡
Ø 檢查方法
使用show ip int brief命令查看。
Ø 推薦值
配置成Acess接口
Ø 加固方法
在接口模式下
shut down
Ø 注意事項
僅在接入層交換機未使用接口上配置。
5 控制層面安全管理
5.1 COPP(Control Plane Protection)
Ø 風險級別
中
Ø 風險描述
交換機控制引擎是整個設備的大腦,負責處理所有控制層面的信息。而網絡黑客有可能偽裝成特定類型的需要控制層面處理的數據包直接對路由設備進行攻擊,因為路由設備的控制引擎處理能力是有限,即使是最強大硬件架構也難以處理大量的惡意DDoS攻擊流量,所以需要部署適當的反制措施,對設備控制引擎提供保護。
檢查方法
使用show run命令查看配置文件中的logging字段。
Ø 推薦值
開啟COPP
Ø 加固方法
ip access-list copp-system-acl-telnet
10 permit tcp any any eq telnet
20 permit tcp any eq telnet any
ip access-list copp-system-acl-ssh
10 permit tcp any any eq 22
20 permit tcp any eq 22 any
ip access-list copp-system-acl-snmp
10 permit udp any any eq snmp
20 permit udp any any eq snmptrap
ip access-list copp-system-acl-ospf
10 permit ospf any any
ip access-list copp-system-acl-tacacs
10 permit tcp any any eq tacacs
20 permit tcp any eq tacacs any
ip access-list copp-system-acl-radius
10 permit udp any any eq 1812
20 permit udp any any eq 1813
30 permit udp any any eq 1645
40 permit udp any any eq 1646
50 permit udp any eq 1812 any
60 permit udp any eq 1813 any
70 permit udp any eq 1645 any
80 permit udp any eq 1646 any
ip access-list copp-system-acl-ntp
10 permit udp any any eq ntp
20 permit udp any eq ntp any
ip access-list copp-system-acl-icmp
10 permit icmp any any echo
20 permit icmp any any echo-reply
ip access-list copp-system-acl-traceroute
10 permit icmp any any ttl-exceeded
20 permit icmp any any port-unreachable
class-map type control-plane match-any copp-system-class-critical
match access-group name copp-system-acl-ospf
class-map type control-plane match-any copp-system-class-exception
match exception ip option
match exception ip icmp unreachable
class-map type control-plane match-any copp-system-class-management
match access-group name copp-system-acl-ntp
match access-group name copp-system-acl-radius
match access-group name copp-system-acl-ssh
match access-group name copp-system-acl-tacacs
match access-group name copp-system-acl-telnet
class-map type control-plane match-any copp-system-class-monitoring
match access-group name copp-system-acl-icmp
match access-group name copp-system-acl-traceroute
class-map type control-plane match-any copp-system-class-normal
match protocol arp
class-map type control-plane match-any copp-system-class-redirect
match redirect dhcp-snoop
match redirect arp-inspect
policy-map type control-plane copp-system-policy
class copp-system-class-critical
police cir 39600 kbps bc 250 ms conform transmit violate drop
class copp-system-class-management
police cir 10000 kbps bc 250 ms conform transmit violate drop
class copp-system-class-exception
police cir 360 kbps bc 250 ms conform transmit violate drop
class copp-system-class-normal
police cir 680 kbps bc 250 ms conform transmit violate drop
class copp-system-class-redirect
police cir 280 kbps bc 250 ms conform transmit violate drop
class copp-system-class-monitoring
police cir 130 kbps bc 1000 ms conform transmit violate drop
class class-default
police cir 100 kbps bc 250 ms conform transmit violate drop
control-plane
service-policy input copp-system-policy
網絡交換機配置常見命令相關文章: