catalyst交換機安全配置為防患網路安全隱患,建議在每台cisco裝置上採取如下措施:
1. 配置堅固的口令
使用enable secret ,選擇包括字母,數字和特殊字元的密碼 eg:$pecial$
router(config)#enablesecret $pecial$
2. 使用acl
使用acl來限制管理訪問和遠端接入,防止對管理介面的非授權訪問和dos攻擊
3. 確保設別物理安全
4. 確保vty接入安全
通過使用acl
配置堅固的vty接入口令
使用ssh2
5. 配置警告語
6. 禁用不必要的服務
多層交換網路中通常不使用下列服務
tcp small server(echo chargendiscard daytime)
udp small server(echo chargendiscard daytime)
finger
自動配置
padbootp
標識服務
不進行身份驗證的ntp
源路由選擇
ip**arp
icmp不可達
icmp 重定向
定向廣播**
mop
7. 盡可那少用cdp
8. 禁用整合的http後台程式
在基於ios的軟體的交換機中預設是禁用整合的http伺服器,如果http訪問是必不可少的應使用另乙個http埠,並通過使用acl只允許受信任的子網和工作站訪問。
9. 配置基本的系統日誌
使用日誌工具來監控交換機系統資訊,預設的緩衝區大小不足以記錄大部分事件。
10. 確保snmp的安全
盡可能避免使用snmp讀寫特性,應使用snmpv3和經過加密的口令
11. 限制鏈路聚集連線和vlan傳播
手工或使用vtp來刪除幹道上未使用的vlan,防止未經授權的鏈路聚集。
12. 確保生成樹拓撲的安全
通過配置網橋優先順序,避免因新交換機加入網路而無意間移動stp跟
交換機埠安全配置
寫在前面 一般在網路中會在接入層交換機邊緣埠上配置埠安全用於防止非法或不可以信任的網路裝置接入到網路中,以便於提高網路的安全性。拓撲圖 網路需求 在接入層交換機上配置埠安全提高網路安全效能,實現網路互通。配置 sw1 gigabitethernet0 0 1 port security enable...
Catalyst3550交換機配置三層介面
帶有emi的catalyst3550交換機支援三種路由或橋接的三層介面 svis 你應該為任何你想路由流量的 vlan配置svis。當你在inte ce vlan全域性配置命令後輸入乙個vlan id時,svis被建立。要刪除乙個svi,用命令 global no inte ce vlan 需要關於...
交換機交換機
交換機。常常聽人說交換機 路由器。什麼是交換機?為什麼叫交換機?交換什麼?交換機是不是就是路由器?這二者有什麼區別?這是我的疑問。沒辦法,基礎沒打好。一 什麼是交換機 交換機是這麼一種裝置 將網路分成若干小段,以解決網路擁堵,降低出錯,提高傳輸效率。為什麼分成若干小段可以提高傳輸效率呢?這涉及到網路...