網(wǎng)絡(luò)交換機(jī)配置常見(jiàn)命令

　　計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)應(yīng)用需求量不斷增加,基于TCP/IP的以太網(wǎng)交換機(jī)和路由器成為不可缺少的通信設(shè)備.下面是學(xué)習(xí)啦小編跟大家分享的是網(wǎng)絡(luò)交換機(jī)配置常見(jiàn)命令，歡迎大家來(lái)閱讀學(xué)習(xí)。

　　網(wǎng)絡(luò)交換機(jī)配置常見(jiàn)命令

　　中國(guó)館交換機(jī)安全審計(jì)規(guī)范1

　　1交換機(jī)配置的安全2

　　1.1口令的安全性2

　　1.2口令加密服務(wù)2

　　1.3權(quán)限分級(jí)策略3

　　1.4VTY的訪問(wèn)控制3

　　1.5配置端口的超時(shí)4

　　1.6VTP協(xié)議加密5

　　1.7路由協(xié)議加密5

　　1.8限制路由協(xié)議泛洪6

　　2交換機(jī)網(wǎng)絡(luò)服務(wù)安全配置7

　　2.1CDP協(xié)議7

　　2.2HTTP服務(wù)7

　　2.3BOOTP服務(wù)8

　　2.4SNMP配置安全9

　　2.5Figner服務(wù)10

　　2.6IP源路由10

　　3日志及信息管理11

　　3.1啟用日志服務(wù)器11

　　3.2Banner信息12

　　4交換機(jī)接口安全12

　　4.1Proxy ARP12

　　4.2IP Redirects13

　　4.3關(guān)閉IP Unreachable Messages14

　　4.4配置Portfast和BPDU Guard14

　　4.5配置端口安全15

　　4.6配置DHCP監(jiān)聽(tīng)16

　　4.7配置ARP防護(hù)17

　　4.8配置IP Source Guard19

　　4.9關(guān)閉未使用接口20

　　5控制層面安全管理20

　　5.1COPP(Control Plane Protection)20

　　1 交換機(jī)配置的安全

　　1.1 口令的安全性

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　攻擊者可能利用暴力猜解口令登錄交換機(jī)。

　　Ø 檢查方法

　　詢問(wèn)交換機(jī)管理人員口令長(zhǎng)度與復(fù)雜度。

　　Ø 推薦值

　　口令長(zhǎng)度應(yīng)大于8位，且應(yīng)由數(shù)字、字母、符號(hào)，三者相混合。

　　Ø 加固方法

　　在特權(quán)模式下使用enable secret命令更改口令。

　　Ø 注意事項(xiàng)

　　無(wú)

　　1.2 口令加密服務(wù)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　未使用口令加密服務(wù)會(huì)對(duì)所有具有查看配置的用戶暴露除secret口令以外的任何口令。

　　Ø 檢查方法

　　使用show run命令查看配置文件，是否存在service password-encryption字段。

　　Ø 推薦值

　　使用口令加密服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下，使用service password-encryption命令開啟口令加密服務(wù)。

　　Ø 注意事項(xiàng)

　　無(wú)。

　　1.3 權(quán)限分級(jí)策略

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　底

　　Ø 風(fēng)險(xiǎn)描述

　　單用戶的登陸配置方式可能會(huì)對(duì)口令和用戶的管理帶來(lái)不便。

　　Ø 檢查方法

　　使用show run命令，查看是否建立了不同權(quán)限的配置用戶。

　　Ø 推薦值

　　對(duì)不同角色,如：日志審計(jì)員、網(wǎng)絡(luò)管理員等，建立不同權(quán)限的用戶。

　　Ø 加固方法

　　在ACS上，建立不同權(quán)限的用戶。

　　Ø 注意事項(xiàng)

　　需要網(wǎng)絡(luò)管理員根據(jù)實(shí)際情況進(jìn)行添加。

　　1.4 VTY的訪問(wèn)控制

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　非授權(quán)的配置地址來(lái)源會(huì)訪問(wèn)到交換機(jī)，為惡意的攻擊者提供了暴力猜解口令機(jī)會(huì)。

　　Ø 檢查方法

　　使用show run命令，查看是否建立了相應(yīng)的ACL列表如：access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log，以及是否在VTY端口上應(yīng)用，如：access-class 101 in。

　　Ø 推薦值

　　設(shè)定特定的IP地址訪問(wèn)交換機(jī)。

　　Ø 加固方法

　　在特權(quán)模式下使用access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log命令設(shè)定授權(quán)IP地址的訪問(wèn)控制策略，進(jìn)入VTY接口，使用access-class 101 in命令應(yīng)用該策略。

　　Ø 注意事項(xiàng)

　　需要網(wǎng)絡(luò)管理員確定授權(quán)的IP地址，且該IP地址可以訪問(wèn)交換機(jī)。

　　1.5 配置端口的超時(shí)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　管理員的疏忽可能會(huì)造成非授權(quán)者查看或修改交換機(jī)配置。

　　Ø 檢查方法

　　使用show run命令，查看con、vty、AUX端口是否配置了超時(shí)，如：exec-timeout 5 0。

　　Ø 推薦值

　　設(shè)置超時(shí)不大于5分鐘。

　　Ø 加固方法

　　分別進(jìn)入con端口、VTY端口、AUX端口，使用exec-timeout 5 0命令配置端口超時(shí)。

　　Ø 注意事項(xiàng)

　　無(wú)

　　1.6 VTP協(xié)議加密

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　可以讓攻擊者通過(guò)VTP協(xié)議學(xué)習(xí)到網(wǎng)絡(luò)VLAN，從而進(jìn)行二層網(wǎng)絡(luò)攻擊。

　　Ø 檢查方法

　　使用show vtp password檢查密碼是否配置。

　　Ø 推薦值

　　口令長(zhǎng)度應(yīng)大于8位，且應(yīng)由數(shù)字、字母、符號(hào)，三者相混合。

　　Ø 加固方法

　　全局模式下

　　vtp password xxxxxxx。

　　Ø 注意事項(xiàng)

　　無(wú)

　　1.7 路由協(xié)議加密

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　攻擊者可以利用OSPF路由協(xié)議自動(dòng)協(xié)商鄰居的特性學(xué)習(xí)到整網(wǎng)拓?fù)洹?/p>

　　Ø 檢查方法

　　使用show run檢查OSPF相關(guān)配置。

　　Ø 推薦值

　　口令長(zhǎng)度應(yīng)大于8位，且應(yīng)由數(shù)字、字母、符號(hào)，三者相混合。

　　Ø 加固方法

　　全局模式下

　　router ospf 100

　　area 0 authentication message-digest

　　接口模式下

　　ip ospf message-digest-key 1 md5 xxxxxxxx

　　Ø 注意事項(xiàng)

　　無(wú)

　　1.8 限制路由協(xié)議泛洪

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　攻擊者可以利用OSPF路由協(xié)議自動(dòng)協(xié)商鄰居的特性學(xué)習(xí)到整網(wǎng)拓?fù)洹?/p>

　　Ø 檢查方法

　　使用show run interface vlan xxx檢查。

　　Ø 推薦值

　　關(guān)閉網(wǎng)關(guān)接口泛洪L(zhǎng)SA的特性。

　　Ø 加固方法

　　接口模式下

　　ip ospf database-filter all out

　　Ø 注意事項(xiàng)

　　僅在網(wǎng)關(guān)接口配置。

　　2 交換機(jī)網(wǎng)絡(luò)服務(wù)安全配置

　　2.1 CDP協(xié)議

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　底

　　Ø 風(fēng)險(xiǎn)描述

　　蓄意攻擊者可能通過(guò)截取CDP包分析交換機(jī)的相關(guān)信息。

　　Ø 檢查方法

　　使用show cdp run 命令查看CDP協(xié)議的開啟情況。

　　Ø 推薦值

　　不使用CDP協(xié)議，如無(wú)法避免則應(yīng)指定端口發(fā)布CDP包。

　　Ø 加固方法

　　在接口模式下

　　no cdp enable

　　Ø 注意事項(xiàng)

　　僅在接入層交換機(jī)access接口下配置。

　　2.2 HTTP服務(wù)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　惡意攻擊者可以利用交換機(jī)開啟的HTTP服務(wù)發(fā)起攻擊從而影響交換機(jī)性能。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應(yīng)的http server字段。

　　Ø 推薦值

　　關(guān)閉http服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip http server

　　Ø 注意事項(xiàng)

　　無(wú)

　　2.3 BOOTP服務(wù)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　惡意攻擊者可以利用該服務(wù)發(fā)起DDOS攻擊。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應(yīng)的BOOTP字段。

　　Ø 推薦值

　　關(guān)閉BOOTP服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip bootp server

　　Ø 注意事項(xiàng)

　　無(wú)

　　2.4 SNMP配置安全

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 風(fēng)險(xiǎn)描述

　　惡意攻擊者可以利用默認(rèn)的SNMP通信字截獲交換機(jī)管理信息，甚至可以通過(guò)SNMP管理破壞交換機(jī)配置。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應(yīng)的snmp字段。

　　Ø 推薦值

　　修改默認(rèn)的public、private通信字。

　　Ø 加固方法

　　在特權(quán)模式下使用命令snmp-server community XXX ro命令設(shè)定只讀通信字，使用snmp-server community XXX rw命令設(shè)定讀寫通信字。

　　Ø 注意事項(xiàng)

　　相關(guān)使用SNMP的網(wǎng)管軟件或安全監(jiān)控平臺(tái)通信字需一并進(jìn)行修改。

　　2.5 Figner服務(wù)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　UNIX用戶查找服務(wù)，允許遠(yuǎn)程列出系統(tǒng)用戶的信息，有助于幫助攻擊者收集用戶信息，建議關(guān)閉。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應(yīng)的Figner字段。

　　Ø 推薦值

　　關(guān)閉Figner服務(wù)。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip finger

　　no service finger

　　Ø 注意事項(xiàng)

　　無(wú)

　　2.6 IP源路由

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　IP source routing功能的開啟允許數(shù)據(jù)包本身指定傳輸路徑，對(duì)攻擊者來(lái)說(shuō)好的特性，攻擊者可以通過(guò)該功能跳躍NAT設(shè)備，進(jìn)入內(nèi)網(wǎng)。

　　Ø 檢查方法

　　使用show run命令，查看配置中相應(yīng)的字段。

　　Ø 推薦值

　　關(guān)閉IP源路由。

　　Ø 加固方法

　　在特權(quán)模式下

　　no ip source-route

　　Ø 注意事項(xiàng)

　　僅三層設(shè)備上配置

　　3 日志及信息管理

　　3.1 啟用日志服務(wù)器

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　低

　　Ø 風(fēng)險(xiǎn)描述

　　沒(méi)有審計(jì)日志可能會(huì)對(duì)網(wǎng)絡(luò)的監(jiān)控，突發(fā)事件的處理帶來(lái)不便。

　　Ø 檢查方法

　　使用show run命令查看配置文件中的logging字段。

　　Ø 推薦值

　　開啟交換機(jī)日志審計(jì)，并且設(shè)定日志服務(wù)器。

　　Ø 加固方法

　　在特權(quán)模式下使用logging on、logg facility local6命令開啟審計(jì)日志功能，使用logg X.X.X.X命令指定日志服務(wù)器和CiscoWorks。

　　Ø 注意事項(xiàng)

　　首先需要在系統(tǒng)內(nèi)建立日志服務(wù)器和CiscoWorks。

　　3.2 Banner信息

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　低

　　Ø 風(fēng)險(xiǎn)描述

　　帶有敏感信息的banner可能會(huì)給蓄意攻擊者提供交換機(jī)信息。

　　Ø 檢查方法

　　使用show run命令查看banner信息。

　　Ø 推薦值

　　不顯示交換機(jī)的信息，如：交換機(jī)型號(hào)、軟件、所有者等。

　　Ø 加固方法

　　在特權(quán)模式下使用banner命令設(shè)定信息。

　　Ø 注意事項(xiàng)

　　無(wú)。

　　4 交換機(jī)接口安全

　　4.1 Proxy ARP

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　三層網(wǎng)關(guān)作為第二層地址解析的代理，代理ARP功能如果使用不當(dāng)會(huì)對(duì)網(wǎng)絡(luò)造成影響。

　　Ø 檢查方法

　　使用show run interface vlan XXX命令查看。

　　Ø 推薦值

　　關(guān)閉Proxy ARP

　　Ø 加固方法

　　在接口模式下

　　no ip proxy-arp

　　Ø 注意事項(xiàng)

　　配置在各匯聚層交換機(jī)上，僅在用戶網(wǎng)關(guān)上關(guān)閉Proxy ARP服務(wù)。

　　4.2 IP Redirects

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　三層設(shè)備會(huì)對(duì)特定的包發(fā)送ICMP REDIRECT MESSAGE，對(duì)攻擊者來(lái)說(shuō)，有助于了解網(wǎng)絡(luò)拓?fù)?，?duì)非可信的網(wǎng)絡(luò)關(guān)閉。

　　Ø 檢查方法

　　使用show run interface vlan xxx命令查看。

　　Ø 推薦值

　　關(guān)閉ip redirects。

　　Ø 加固方法

　　在接口模式下

　　no ip redirects

　　Ø 注意事項(xiàng)

　　配置在各匯聚層交換機(jī)上，僅在用戶網(wǎng)關(guān)上關(guān)閉ip redirects服務(wù)。

　　4.3 關(guān)閉IP Unreachable Messages

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　如果發(fā)送者的目標(biāo)地址不可達(dá)，三層設(shè)備會(huì)通告原因給發(fā)送方，對(duì)于攻擊者來(lái)說(shuō)，可以了解網(wǎng)絡(luò)信息，并且利用該特性發(fā)出的大量的錯(cuò)誤目地包，將會(huì)導(dǎo)致交換機(jī)CPU利用率升高，對(duì)交換機(jī)進(jìn)行DOS攻擊。

　　Ø 檢查方法

　　使用show run interface vlan XXX命令查看。

　　Ø 推薦值

　　關(guān)閉ip unreachables

　　Ø 加固方法

　　在接口模式下

　　no ip unreachables

　　Ø 注意事項(xiàng)

　　配置在各匯聚層交換機(jī)上,僅在用戶網(wǎng)關(guān)上關(guān)閉ip unreachables服務(wù)。

　　4.4 配置Portfast和BPDU Guard

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　在交換機(jī)的配置中，對(duì)連接主機(jī)的端口應(yīng)該啟用spanning-tress portfast和portfast bpduguard功能。啟用portfast功能后，端口的狀態(tài)會(huì)從blocking直接進(jìn)入到forwarding，能夠大大縮短一個(gè)端口從連接到轉(zhuǎn)發(fā)的時(shí)間周期。啟用portfast bpduguard功能，當(dāng)portfast端口上受到BPDU時(shí)，會(huì)自動(dòng)關(guān)閉端口，可以避免網(wǎng)絡(luò)邊緣“非法”交換機(jī)的連接和HUB的串聯(lián)。

　　Ø 檢查方法

　　使用show run interface fx/x/x命令查看。

　　Ø 推薦值

　　開啟portfast和bpduguard

　　Ø 加固方法

　　在接口模式下使用

　　spanning-tree portfast

　　spanning-tree bpduguard enable

　　Ø 注意事項(xiàng)

　　僅在接入層交換機(jī)access接口下配置

　　4.5 配置端口安全

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　建議在所有access端口上使用端口安全特性，防止MAC地址泛洪，MAC地址欺騙等常見(jiàn)二層攻擊，該特性可實(shí)現(xiàn)如下功能。

　　l 包括限制端口上最大可以通過(guò)的MAC地址數(shù)量

　　l 端口上學(xué)習(xí)或通過(guò)特定MAC地址

　　l 對(duì)于超過(guò)規(guī)定數(shù)量的MAC處理進(jìn)行違背處理

　　Ø 檢查方法

　　使用show run interface fx/x/x，show port-security命令查看。

　　Ø 推薦值

　　開啟端口安全

　　Ø 加固方法

　　在接口模式下使用

　　switchport port-security //開啟端口安全功能//

　　switchport port-security violation restrict //將來(lái)自未受權(quán)主機(jī)的幀丟棄//

　　switchport port-security aging static //設(shè)置MAC永不超時(shí)//

　　switchport port-security mac-address 0010.c6ce.0e86 //靜態(tài)綁定MAC//

　　Ø 注意事項(xiàng)

　　僅在接入層交換機(jī)access接口下配置

　　4.6 配置DHCP監(jiān)聽(tīng)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　采用DHCP可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址，掩碼，網(wǎng)關(guān)，DNS,WINS等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)中設(shè)置，提高了管理效率。由于DHCP的重要性，正對(duì)DHCP的攻擊會(huì)對(duì)網(wǎng)絡(luò)造成嚴(yán)重影響。DHCP的攻擊主要包括兩種：

　　l DHCP服務(wù)器的冒充：(假冒DHCP服務(wù)器加入網(wǎng)絡(luò))

　　l 針對(duì)DHCP服務(wù)器的DOS攻擊：(攻擊者發(fā)出洪水般的DHCP請(qǐng)求知道DHCP服務(wù)器資源耗竭)

　　DHCP Snooping描述

　　針對(duì)這兩種攻擊，Cisco交換機(jī)支持DHCP snooping功能對(duì)DHCP的保護(hù)

　　DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可以信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址，IP地址，租用期,VLAN ID等接口信息，DHCP Snooping并且能提供DHCP必要的保護(hù)。

　　Ø 檢查方法

　　使用show ip dhcp snooping，show run命令查看配置中相應(yīng)的字段。

　　Ø 推薦值

　　開啟DHCP Snooping

　　Ø 加固方法

　　全局命令

　　ip dhcp snooping//全局啟動(dòng)dhcp snooping//

　　ip dhcp snooping vlan 301-331,535-549 //定義對(duì)哪些VLAN進(jìn)行DHCP監(jiān)聽(tīng)//

　　在接口模式下

　　ip dhcp snooping trust//一般連接DHCP服務(wù)器和交換機(jī)上連端口//

　　no ip dhcp snooping trust //接口默認(rèn)為非信任接口，無(wú)法接受DHCP respone信息，這樣可以杜絕非法DHCP Server接入內(nèi)網(wǎng)//

　　ip dhcp snooping limit rate 30 //定義dhcp包的轉(zhuǎn)發(fā)速率(每秒數(shù)據(jù)包數(shù)PPS)，超過(guò)就接口就shutdown，默認(rèn)不限制//

　　Ø 注意事項(xiàng)

　　僅在接入層就交換機(jī)上配置，交換機(jī)上連端口以及連接DHCP服務(wù)器的端口需配置成Trust接口

　　4.7 配置ARP防護(hù)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　ARP協(xié)議是在TCP/IP協(xié)議棧中最常用的協(xié)議，但由于ARP協(xié)議自身設(shè)計(jì)的缺陷，基于ARP的攻擊成為攻擊者最為常用的一種攻擊手段，簡(jiǎn)單而有效。常見(jiàn)的ARP攻擊有ARP欺騙和ARP泛洪兩種。

　　DAI描述

　　思科Dynamic ARP Inspection(DAI)在交換機(jī)上提供IP地址和MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒(méi)有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARP access-list實(shí)現(xiàn)。DAI配置正對(duì)VLAN,對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。通過(guò)這些技術(shù)可以防范“中間人”攻擊。

　　配置DAI后：

　　在配置DAI技術(shù)的接口上，用戶端采用靜態(tài)指定地址的方式接入網(wǎng)絡(luò)

　　由于DAI檢查DHCP Snooping綁定表中的IP和MAC對(duì)應(yīng)關(guān)系，ARP欺騙攻擊。

　　DAI默認(rèn)對(duì)ARP請(qǐng)求報(bào)文做了速度限制，客戶端無(wú)法進(jìn)行人為或者病毒進(jìn)行的IP掃描，探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。

　　配置了DAI后用戶獲取IP地址后，用戶不能修改IP或MAC，因?yàn)閐hcp綁定表中有了合法的IP和MAC以及端口的對(duì)應(yīng)關(guān)系，如果你用靜態(tài)的話修改之后發(fā)ARP請(qǐng)求時(shí)因?yàn)閱⒂昧薉AI，所以會(huì)檢測(cè)ARP請(qǐng)求包中的IP和MAC對(duì)應(yīng)關(guān)系，當(dāng)發(fā)現(xiàn)對(duì)應(yīng)表中不一致的IP MAC對(duì)應(yīng)時(shí)，將發(fā)不出ARP請(qǐng)求。

　　注意：DAI只檢查ARP包。

　　Ø 檢查方法

　　使用show ip arp inspection，show run命令查看配置中相應(yīng)的字段。

　　Ø 推薦值

　　開啟ARP inspection

　　Ø 加固方法

　　全局命令

　　ip arp inspection vlan 301-331,545-549 //定義對(duì)哪些VLAN進(jìn)行ARP檢測(cè)//

　　ip arp inspection validate src-mac ip //檢查ARP包中的源MAC和IP//

　　在接口模式下

　　ip arp inspection trust//一般連接交換機(jī)上連端口//

　　no ip arp inspection trust //接口默認(rèn)為非信任接口，檢查所有ARP數(shù)據(jù)包//

　　ip arp inspection limit rate 30 //定義接口每秒 ARP 報(bào)文數(shù)量,超過(guò)的話接口就errordisable //

　　Ø 注意事項(xiàng)

　　僅在接入層交換機(jī)山配置，交換機(jī)上連端口需配置成Trust接口。

　　4.8 配置IP Source Guard

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　IP Source Guard技術(shù)配置在交換機(jī)上僅支持2層端口上的配置，通過(guò)下面的機(jī)制可以防范IP/MAC欺騙：

　　l IP Source Guard使用DHCP Snooping綁定表信息。

　　l 配置在交換機(jī)端口上，并對(duì)該端口生效。

　　l IP Souce Guard運(yùn)作機(jī)制類似DAI，但是IP Source Guard不僅僅檢查ARP報(bào)文，(DAI只檢查ARP報(bào)文)所有經(jīng)過(guò)定義IP Source Guard檢查的端口的報(bào)文都要檢測(cè)。

　　l IP Source Guard檢查接口所通過(guò)的流量的IP地址和MAC地址是否在DHCP Snooping綁定表，如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務(wù)器支持Option 82，同時(shí)使用網(wǎng)絡(luò)設(shè)備需支持Option 82信息。

　　Ø 檢查方法

　　使用show run inertface X/X/X命令查看配置中相應(yīng)的字段。

　　Ø 推薦值

　　開啟IP Source Guard

　　Ø 加固方法

　　在接口模式下

　　ip verify source port-security //在端口啟用ip source guard //

　　Ø 注意事項(xiàng)

　　僅接用戶端口配置，連接服務(wù)器或打印機(jī)端口不配

　　4.9 關(guān)閉未使用接口

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　高

　　Ø 功能描述

　　防止非法人員接入網(wǎng)絡(luò)

　　Ø 檢查方法

　　使用show ip int brief命令查看。

　　Ø 推薦值

　　配置成Acess接口

　　Ø 加固方法

　　在接口模式下

　　shut down

　　Ø 注意事項(xiàng)

　　僅在接入層交換機(jī)未使用接口上配置。

　　5 控制層面安全管理

　　5.1 COPP(Control Plane Protection)

　　Ø 風(fēng)險(xiǎn)級(jí)別

　　中

　　Ø 風(fēng)險(xiǎn)描述

　　交換機(jī)控制引擎是整個(gè)設(shè)備的大腦，負(fù)責(zé)處理所有控制層面的信息。而網(wǎng)絡(luò)黑客有可能偽裝成特定類型的需要控制層面處理的數(shù)據(jù)包直接對(duì)路由設(shè)備進(jìn)行攻擊，因?yàn)槁酚稍O(shè)備的控制引擎處理能力是有限，即使是最強(qiáng)大硬件架構(gòu)也難以處理大量的惡意DDoS攻擊流量，所以需要部署適當(dāng)?shù)姆粗拼胧?，?duì)設(shè)備控制引擎提供保護(hù)。

　　檢查方法

　　使用show run命令查看配置文件中的logging字段。

　　Ø 推薦值

　　開啟COPP

　　Ø 加固方法

　　ip access-list copp-system-acl-telnet

　　10 permit tcp any any eq telnet

　　20 permit tcp any eq telnet any

　　ip access-list copp-system-acl-ssh

　　10 permit tcp any any eq 22

　　20 permit tcp any eq 22 any

　　ip access-list copp-system-acl-snmp

　　10 permit udp any any eq snmp

　　20 permit udp any any eq snmptrap

　　ip access-list copp-system-acl-ospf

　　10 permit ospf any any

　　ip access-list copp-system-acl-tacacs

　　10 permit tcp any any eq tacacs

　　20 permit tcp any eq tacacs any

　　ip access-list copp-system-acl-radius

　　10 permit udp any any eq 1812

　　20 permit udp any any eq 1813

　　30 permit udp any any eq 1645

　　40 permit udp any any eq 1646

　　50 permit udp any eq 1812 any

　　60 permit udp any eq 1813 any

　　70 permit udp any eq 1645 any

　　80 permit udp any eq 1646 any

　　ip access-list copp-system-acl-ntp

　　10 permit udp any any eq ntp

　　20 permit udp any eq ntp any

　　ip access-list copp-system-acl-icmp

　　10 permit icmp any any echo

　　20 permit icmp any any echo-reply

　　ip access-list copp-system-acl-traceroute

　　10 permit icmp any any ttl-exceeded

　　20 permit icmp any any port-unreachable

　　class-map type control-plane match-any copp-system-class-critical

　　match access-group name copp-system-acl-ospf

　　class-map type control-plane match-any copp-system-class-exception

　　match exception ip option

　　match exception ip icmp unreachable

　　class-map type control-plane match-any copp-system-class-management

　　match access-group name copp-system-acl-ntp

　　match access-group name copp-system-acl-radius

　　match access-group name copp-system-acl-ssh

　　match access-group name copp-system-acl-tacacs

　　match access-group name copp-system-acl-telnet

　　class-map type control-plane match-any copp-system-class-monitoring

　　match access-group name copp-system-acl-icmp

　　match access-group name copp-system-acl-traceroute

　　class-map type control-plane match-any copp-system-class-normal

　　match protocol arp

　　class-map type control-plane match-any copp-system-class-redirect

　　match redirect dhcp-snoop

　　match redirect arp-inspect

　　policy-map type control-plane copp-system-policy

　　class copp-system-class-critical

　　police cir 39600 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-management

　　police cir 10000 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-exception

　　police cir 360 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-normal

　　police cir 680 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-redirect

　　police cir 280 kbps bc 250 ms conform transmit violate drop

　　class copp-system-class-monitoring

　　police cir 130 kbps bc 1000 ms conform transmit violate drop

　　class class-default

　　police cir 100 kbps bc 250 ms conform transmit violate drop

　　control-plane

　　service-policy input copp-system-policy

網(wǎng)絡(luò)交換機(jī)配置常見(jiàn)命令相關(guān)文章：

1.華為quidway交換機(jī)配置命令有哪些

2.華為交換機(jī)配置的命令有哪些

3.網(wǎng)絡(luò)交換機(jī)怎么設(shè)置

4.千兆網(wǎng)絡(luò)交換機(jī)設(shè)置技巧

5.華為s3700交換機(jī)DHCP配置命令有哪些

6.華為交換機(jī)aaa配置命令是什么

7.網(wǎng)絡(luò)交換機(jī)安全小技巧