对一个网络安全情况进行评估,就是要关注哪个地方是最脆弱的。
针对一个二层交换环境,最不安全的就是接入层的交换机
二层交换安全:
1、con口登入密码
line con 0
login
password cisco
2、vty线下密码
line vty 0 935
login
password cisco
3、enable密码
enable password cisco
enable secret cisco
4、将配置文件的明文密码加密
service password-encryption之后的明文密码都将被加密
no service password-encryption 之前已加密将保持原样
后续的明文密码将不被加密
MD5是一种加密算法不可逆,不等长输入,等长输出的散列函数,输出长度为128位
SHA-1是比MD5更安全的散列函数,长度为160位
5、提供相关登陆的banner信息,提示用户
6、远程登陆尽量使用SSH,而非telnet
7、端口安全port-security
switchport port-security 端口安全开启开关
switchport port-security mac-address mac_addree/sticky 端口怎样记录mac地址
switchport port-security maximum num 端口最大MAC地址记录数
switchport port-security violation shutdown/restrict/protect 端口安全的惩罚机制
当端口变成errdisable的话,有两种方式可以恢复:
1、先shutdown ,后no shutdown
2、使用errdisable recovery cause psecure自动恢复
3、设置恢复间隔errdisable recovery interval 30 30秒自动恢复
port-security默认的惩罚机制是shutdown ,也就是让端口errdisable
protect就是简单的丢弃,而restrict丢弃并生成日志发送
部署端口安全工程建议:连接服务器的端口使用静态手工绑定MAC地址,而普通的用户PC
使用sticky粘滞功能获得并绑定用户PC的MAC地址
