思科交换设备安全配置命令

1.ACCESS接口端口安全
Cisco(config-if)#switchport port-security //打开端口安全的开关
Cisco(config-if)#switchport port-security mac-address 1.1.1 //手工输入合法的MAC地址
Cisco(config-if)#switchport port-security mac-address sticky //将动态学到MAC地址绑定为合法的地址
Cisco(config-if)#switchport port-security maximum 100
Ciscoconfig-if)#switchport port-security violation shutdown
Cisco(config-if)#switchport port-security violation restrict
Cisco(config-if)#switchport port-security violation protect
Cisco(config)#errdisable recovery cause security-violation //开启端口安全错误自动恢复
Cisco#show port-security
Cisco#show port-security interface e0/2
2.VLAN安全配置
Cisco(config-if)#switchport protected //配置端口为保护端口，同一个vlan中的保护端口间不能通信
3.DHCP欺骗攻击防护命令
Cisco(config)#ip dhcp snooping //全局开启dhcp snooping开关
Cisco(config)#ip dhcp snooping vlan 1 //基于vlan开启dhcp snooping
Cisco(config-if)#ip dhcp snooping trust //在连接合法的dhcp服务器接口或去往合法DHCP服务器的所有接口设置为信任接口，默认为不信任接口
Cisco(config-if)#ip dhcp snooping limit rate 1 //在接口限制DHCP请求报文发送频率
Cisco(config)#ip dhcp relay information trust-all //信任DHCP报文里添加的任何信息（option82）
Cisco(config)#ip dhcp snooping information option //启用DHCP option82选项，默认启用
Cisco#show ip dhcp snooping //查看DHCP snooping
Cisco#show ip dhcp snooping binding //查看DHCP snooping绑定信息
4. IPSG，IP源保护（防止用户私自设置IP地址）
Cisco(config)#ip dhcp snooping //必须开启
Cisco(config-if)#ip verify source //untrust接口启用IP地址过滤
Cisco(config-if)#ip verify source port-security untrust接口启用IP地址及MAC地址过滤
Cisco#show ip verify source //验证IPSG配置
5.ARP欺骗：DAI,动态ARP检测，需结合DHCP Snooping一起使用
Cisco(config)#ip arp inspection vlan 1 //在vlan 1中启用ARP检查功能
Cisco(config-if)#ip arp inspection trust //配置成DAI可信任端口，不做任何检查就转发，默认都是非信任端口
6.交换机的攻击防护
Cisco(config)#no cdp run //全局关闭CDP功能（会暴露接口信息，IP地址、iOS版本型号、Native VLAN信息、VTP的域名、双工模式）
Cisco(config-if)#no cdp enable
Cisco(config)#enable secret abc123 //使用加密密码
Cisco(config)#service password-encryption //服务密码使用加密形式
7.使用安全的远程管理协议SSH
Cisco(config)#ip domain-name abc123.com //配置域名
Cisco(config)#crypto key generate rsa modulus 1024 //生成1024位的RSA密钥对
Cisco(config)#ip ssh version 2 //使用SSHv2
Cisco(config)#username abc123 password cisco //在设备本地认证数据库创建一条用户名和密码
Cisco(config)#line vty 0 4
Cisco(config-line)#transport input ssh //允许使用SSH协议
Cisco(config-line)#login local //使用本地认证数据库进行身份认证，默认使用线下秘钥进行认证
Cisco#ssh -v 2 -1 abc123 100.1.1.2 //客户端进行测试