cisco交換機安全配置設定
你還在為不知道cisco交換機安全配置設定而煩惱么?接下來是小編為大家收集的cisco交換機安全配置設定教程,希望能幫到大家。
cisco交換機安全配置設定的方法
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要采用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議權限分級管理并建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高權限越大
switch(config)#privilege exec level 7 commands /為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的權限自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鐘和秒
switch(config-line)#logging synchronous /強制對彈出的干擾日志信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in /調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x /設置標準訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標準ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鐘和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous /強制對彈出的干擾日志信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in /調用authentication設置的vty-in列表
switch(config-line)#transport input ssh /有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA服務器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA服務器組成員服務器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server服務器通信的密鑰
二、交換機網絡服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpduguard,bpdufilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的接口shut或將端口模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security
在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的端口上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機端口有5個狀態:disable、blocking、listening、learning、forwarding,只有處于forwarding狀態的端口才可以發送數據。但需經過從blocking-->listening 15s,listening-->learning 15s,learning-->forwarding 20s 共計50s的時間,啟用portfast后將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用于連接終端或服務器的交換機端口,不能在連接交換機的端口上使用!
switch(config-if)#spanning-tree guard root
/當一端口啟用了root guard功能后,當它收到了一個比根網橋優先值更優的BPDU包,則它會立即阻塞該端口,使之不能形成環路等情況。這個端口特性是動態的,當沒有收到更優的包時,則此端口又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpdufilter enable
/當啟用bpdufilter功能時,該端口將丟棄所有的bpdu包,可能影響網絡拓撲的穩定性并造成網絡環路
switch(config-if)#spanning-tree bpduguard enable
/當啟用bpduguard功能的交換機端口接收到bpdu時,會立即將該端口置為error-disabled狀態而無法轉發數據,進而避免了網絡環路!
注意:同時啟用bpduguard與bpdufilter時,bpdufilter優先級較高,bpduguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm occurs
MAC地址綁定端口安全設定
switch(config-if)#switchport port-security /啟用端口安全
switch(config-if)#switchport port-security maximum number /默認每個接口最大的值為1
switch(config-if)#switchport port-security violation protect|restrict|shutdown /啟用安全違規行為
protect:當接口學習到設定數量的MAC后,后來的MAC信息將直接丟棄,且不產生通知
restrict: 當接口學習到設定數量的MAC后,后來的MAC信息將直接丟棄并發送snmp trap,syslog信息。
shutdown: 當接口學習到設定數量的MAC后,后來的MAC信息將不再解析并直接關閉該端口,除非手動shut,no shut或通過errdisable recovery cause 原因 來進行恢復
switch(config-if)#switchport port-security mac-address sticky /啟用mac自動學習功能,無需手動進行綁定
端口錯誤檢測和自動恢復設定
switch(config)#errdisable detect cause all /啟用所有類型錯誤檢測
switch(config)#errdisable recovery cause all /啟用所有類型錯誤發生后在30s后自動恢復
switch(config)#errdisable recovery interval 30 /自動恢復間隔時間為30s
四、三層交換機常用路由協議安全配置
1、RIP協議
建議不采用RIPV1,使用支持md5認證的RIPV2版本
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config)#router rip
switch(config-router)#version 2 /啟用RIP-V2
switch(config-router)#network x.x.x.x
switch(config-router)# passive-interface x/x
/啟用passive-interface禁用一些不需要接收和轉發路由信息的端口(只是禁止轉發路由信息,并沒有禁止接收)
switch(config)#interface x/x
switch(config-if)#ip rip authentication mode md5 /指定認證方式為md5
switch(config-if)#ip rip authentication key-chain chain_name /調用定義的密鑰鏈名
注意:啟用RIPV2協議的互連路由接口其密鑰Key ID和Key string必須相同才可通過認證!
2、EIGRP協議
eigrp僅支持md5認證
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config)#router eigrp as-num /設置eigrp自治系統號,在本地有效
switch(config-router)#network x.x.x.x
switch(config-router)#no auto-summary /關閉自動匯總功能
switch(config)#interface x/x
switch(config-if)#ip authentication mode eigrp 100 md5 /指定eigrp 100區域的認證方式為md5
switch(config-if)#ip authentication key-chain eigrp 100 chain_name /調用定義的密鑰鏈名
注意:啟用EIGRP md5認證的互連路由接口其密鑰Key ID和Key string必須相同才可通過認證!
3、OSPF協議
由于明文認證在更改密碼時會出現斷流且容易比抓包破解,推薦采用md5認證;另OSPF在接口上的認證和區域內的認證是不同的,只要兩端的一樣就可以通信!
switch(config)#router ospf 100 /設置本地有效的標識符100
switch(config-router)#area area_id authentication message-digest /在區域內啟用md5認證
switch(config-if)#ip ospf authentication message-digest /在接口下啟用md5認證
switch(config-if)#ip ospf message-digest-key id md5 pass_string /在接口下設置md5密鑰id及密鑰字符串,兩端啟用OSPF路由協議的端口必須相同
4、HSRP/VRRP協議
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config-if)#standby group_num authentication md5 key-chain chain_name /在啟用hsrp協議的接口下啟用md5認證并調用設定的密鑰鏈名
switch(config-if)#vrrp group_num authentication md5 key-chain chain_name /在啟用vrrp協議的接口下啟用md5認證并調用設定的密鑰鏈名
五、交換機日志收集審計安全配置
trunk接口日志事件設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#logging event trunk-status
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
access接口日志世界設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode access
switch(config-if)#sw access vlan xx
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
日志收集分析設定
switch(config)#logging on /啟動日志
switch(config)#logging host x.x.x.x /設定收集日志的syslog server
switch(config)#logging source-interface loopback0 /設定發送日志的原地址
switch(config)#logging facility local6 /cisco設備的默認類型
switch(config)#logging trap 7 /設定記錄日志服務的類型,數據越大,威脅程度越低,分為0-7,
設置為7表示包含所有日志類型
switch(config)#logging buffered number /設定本地日志buffer size 大小
時區和時間設定(確保日志記錄的準確性)
switch(config)# clock timezone UTC 8 /設定時區為UTC 8
switch(config)#ntp server x.x.x.x /設定NTP Server時間同步服務器
switch(config)#ntp source loopback0 /設定ntp時間同步原地址
switch(config)#ntp authenticate /啟用ntp認證
switch(config)#ntp authentication-key 1 md5 pass-string /設置認證密鑰和密碼
switch(config)#ntp trusted-key 1
六、交換機其他安全配置
1、即時關注cisco ios漏洞信息,為漏洞ios安裝補丁或升級ios
2、定期備份交換機設備配置文件及ios文件
3、嚴格設置登錄Banner。必須包含非授權用戶禁止登錄的字樣
4、禁用DNS查找
switch(config)#no ip domain-lookup
/避免輸入錯誤命令時,交換機進行dns解析查找直到dns查找失敗,延遲較大;建議關閉
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要采用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議權限分級管理并建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高權限越大
switch(config)#privilege exec level 7 commands /為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的權限自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鐘和秒
switch(config-line)#logging synchronous /強制對彈出的干擾日志信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in /調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x /設置標準訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標準ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鐘和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous /強制對彈出的干擾日志信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in /調用authentication設置的vty-in列表
switch(config-line)#transport input ssh /有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA服務器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA服務器組成員服務器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server服務器通信的密鑰
二、交換機網絡服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpduguard,bpdufilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的接口shut或將端口模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security
在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的端口上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機端口有5個狀態:disable、blocking、listening、learning、forwarding,只有處于forwarding狀態的端口才可以發送數據。但需經過從blocking-->listening 15s,listening-->learning 15s,learning-->forwarding 20s 共計50s的時間,啟用portfast后將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用于連接終端或服務器的交換機端口,不能在連接交換機的端口上使用!
switch(config-if)#spanning-tree guard root
/當一端口啟用了root guard功能后,當它收到了一個比根網橋優先值更優的BPDU包,則它會立即阻塞該端口,使之不能形成環路等情況。這個端口特性是動態的,當沒有收到更優的包時,則此端口又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpdufilter enable
/當啟用bpdufilter功能時,該端口將丟棄所有的bpdu包,可能影響網絡拓撲的穩定性并造成網絡環路
switch(config-if)#spanning-tree bpduguard enable
/當啟用bpduguard功能的交換機端口接收到bpdu時,會立即將該端口置為error-disabled狀態而無法轉發數據,進而避免了網絡環路!
注意:同時啟用bpduguard與bpdufilter時,bpdufilter優先級較高,bpduguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm occurs
MAC地址綁定端口安全設定
switch(config-if)#switchport port-security /啟用端口安全
switch(config-if)#switchport port-security maximum number /默認每個接口最大的值為1
switch(config-if)#switchport port-security violation protect|restrict|shutdown /啟用安全違規行為
protect:當接口學習到設定數量的MAC后,后來的MAC信息將直接丟棄,且不產生通知
restrict: 當接口學習到設定數量的MAC后,后來的MAC信息將直接丟棄并發送snmp trap,syslog信息。
shutdown: 當接口學習到設定數量的MAC后,后來的MAC信息將不再解析并直接關閉該端口,除非手動shut,no shut或通過errdisable recovery cause 原因 來進行恢復
switch(config-if)#switchport port-security mac-address sticky /啟用mac自動學習功能,無需手動進行綁定
端口錯誤檢測和自動恢復設定
switch(config)#errdisable detect cause all /啟用所有類型錯誤檢測
switch(config)#errdisable recovery cause all /啟用所有類型錯誤發生后在30s后自動恢復
switch(config)#errdisable recovery interval 30 /自動恢復間隔時間為30s
四、三層交換機常用路由協議安全配置
1、RIP協議
建議不采用RIPV1,使用支持md5認證的RIPV2版本
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config)#router rip
switch(config-router)#version 2 /啟用RIP-V2
switch(config-router)#network x.x.x.x
switch(config-router)# passive-interface x/x
/啟用passive-interface禁用一些不需要接收和轉發路由信息的端口(只是禁止轉發路由信息,并沒有禁止接收)
switch(config)#interface x/x
switch(config-if)#ip rip authentication mode md5 /指定認證方式為md5
switch(config-if)#ip rip authentication key-chain chain_name /調用定義的密鑰鏈名
注意:啟用RIPV2協議的互連路由接口其密鑰Key ID和Key string必須相同才可通過認證!
2、EIGRP協議
eigrp僅支持md5認證
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config)#router eigrp as-num /設置eigrp自治系統號,在本地有效
switch(config-router)#network x.x.x.x
switch(config-router)#no auto-summary /關閉自動匯總功能
switch(config)#interface x/x
switch(config-if)#ip authentication mode eigrp 100 md5 /指定eigrp 100區域的認證方式為md5
switch(config-if)#ip authentication key-chain eigrp 100 chain_name /調用定義的密鑰鏈名
注意:啟用EIGRP md5認證的互連路由接口其密鑰Key ID和Key string必須相同才可通過認證!
3、OSPF協議
由于明文認證在更改密碼時會出現斷流且容易比抓包破解,推薦采用md5認證;另OSPF在接口上的認證和區域內的認證是不同的,只要兩端的一樣就可以通信!
switch(config)#router ospf 100 /設置本地有效的標識符100
switch(config-router)#area area_id authentication message-digest /在區域內啟用md5認證
switch(config-if)#ip ospf authentication message-digest /在接口下啟用md5認證
switch(config-if)#ip ospf message-digest-key id md5 pass_string /在接口下設置md5密鑰id及密鑰字符串,兩端啟用OSPF路由協議的端口必須相同
4、HSRP/VRRP協議
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字符串
switch(config-if)#standby group_num authentication md5 key-chain chain_name /在啟用hsrp協議的接口下啟用md5認證并調用設定的密鑰鏈名
switch(config-if)#vrrp group_num authentication md5 key-chain chain_name /在啟用vrrp協議的接口下啟用md5認證并調用設定的密鑰鏈名
五、交換機日志收集審計安全配置
trunk接口日志事件設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#logging event trunk-status
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
access接口日志世界設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode access
switch(config-if)#sw access vlan xx
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
日志收集分析設定
switch(config)#logging on /啟動日志
switch(config)#logging host x.x.x.x /設定收集日志的syslog server
switch(config)#logging source-interface loopback0 /設定發送日志的原地址
switch(config)#logging facility local6 /cisco設備的默認類型
switch(config)#logging trap 7 /設定記錄日志服務的類型,數據越大,威脅程度越低,分為0-7,
設置為7表示包含所有日志類型
switch(config)#logging buffered number /設定本地日志buffer size 大小
時區和時間設定(確保日志記錄的準確性)
switch(config)# clock timezone UTC 8 /設定時區為UTC 8
switch(config)#ntp server x.x.x.x /設定NTP Server時間同步服務器
switch(config)#ntp source loopback0 /設定ntp時間同步原地址
switch(config)#ntp authenticate /啟用ntp認證
switch(config)#ntp authentication-key 1 md5 pass-string /設置認證密鑰和密碼
switch(config)#ntp trusted-key 1
六、交換機其他安全配置
1、即時關注cisco ios漏洞信息,為漏洞ios安裝補丁或升級ios
2、定期備份交換機設備配置文件及ios文件
3、嚴格設置登錄Banner。必須包含非授權用戶禁止登錄的字樣
4、禁用DNS查找
switch(config)#no ip domain-lookup
/避免輸入錯誤命令時,交換機進行dns解析查找直到dns查找失敗,延遲較大;建議關閉
看了“cisco交換機安全配置設定”還看了: