思科华为交换设备安全配置命令对比

于 2022-12-06 20:38:10 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 思科网络设计与配置 文章标签: 华为 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/128209876
版权

1.DHCP欺骗攻击防护命令
Cisco(config)#ip dhcp snooping //全局开启dhcp snooping开关
[Huawei]dhcp enable //全局使能DHCP功能
[Huawei]dhcp snooping enable //全局使能DHCP Snooping功能
Cisco(config)#ip dhcp snooping vlan 1 //基于vlan开启dhcp snooping
[Huawei-vlan10]dhcp snooping enable
[Huawei-GigabitEthernet0/0/1]dhcp snooping enable //使能接口的DHCP Snooping功能
[Huawei-vlan10]dhcp snooping trusted interface GigabitEthernet 0/0/1
Cisco(config-if)#ip dhcp snooping trust //在连接合法的dhcp服务器接口或去往合法DHCP服务器的所有接口设置为信任接口,默认为不信任接口
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //配置接口为信任状态
Cisco#show ip dhcp snooping //查看DHCP snooping
[Huawei]display dhcp snooping //查看DHCP Snooping的运行信息
[Huawei]display dhcp snooping configuration //查看DHCP Snooping的配置信息
Cisco#show ip dhcp snooping binding //查看DHCP snooping绑定信息
[Huawei]display dhcp snooping user-bind all //查看DHCP Snooping绑定表信息
2.IPSG,IP源保护(防止用户私自设置IP地址)
Cisco(config)#ip dhcp snooping //必须开启
[Huawei]dhcp snooping enable //全局使能DHCP Snooping功能
Cisco(config-if)#ip verify source //untrust接口启用IP地址过滤
[Huawei-GigabitEthernet0/0/1]ip source check user-bind enable //使能接口的IP报文检查功能
Cisco#show ip verify source //验证IPSG配置
[Huawei]display ip source check user-bind interface g0/0/1 //查看接口下IPSG的配置信息
3.ARP欺骗:DAI,动态ARP检测,需结合DHCP Snooping一起使用
Cisco(config)#ip arp inspection vlan 1 //在vlan 1中启用ARP检查功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item vlan
Cisco(config-if)#ip arp inspection trust //配置成DAI可信任端口,不做任何检查就转发,默认都是非信任端口
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable //使能动态ARP检测功能
4.使用安全的远程管理协议SSH
Cisco(config)#ip domain-name abc123.com //配置域名
Cisco(config)#crypto key generate rsa modulus 1024 //生成1024位的RSA密钥对
[LSW1]rsa local-key-pair create //生成本地密钥对
Cisco(config)#ip ssh version 2 //使用SSHv2
Cisco(config)#username abc123 password cisco //在设备本地认证数据库创建一条用户名和密码
[LSW1]aaa //创建SSH用户
[LSW1-aaa]local-user a1 password cipher abc123
[LSW1-aaa]local-user a1 privilege level 3
[LSW1-aaa]local-user a1 service-type ssh
[LSW1]ssh user a1 authentication-type password //认证方式为password
[LSW1]stelnet server enable //开启STelnet服务功能
[LSW1]ssh user a1 service-type stelnet //配置服务方式为STelnet
Cisco(config)#line vty 0 4
[LSW1]user-interface vty 0 4 //配置VTY用户
Cisco(config-line)#transport input ssh //允许使用SSH协议
[LSW1-ui-vty0-4]authentication-mode aaa
[LSW1-ui-vty0-4]protocol inbound ssh
Cisco(config-line)#login local //使用本地认证数据库进行身份认证,默认使用线下秘钥进行认证
Cisco#ssh -v 2 -1 abc123 100.1.1.2 //客户端进行测试

Tony_long7483
关注
专栏目录
ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、
qq_62311779的博客
01-31 4183
目录 一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: (36条消息) MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解(附图,建议PC查看)_孤城286的博客-CSDN博客 DHCP snooping技术及DHCP欺骗攻击,前往: (36条消息) DHCP欺骗泛洪攻击、如何防御
ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
qq_62311779的博客
08-19 1795
一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 三、扩展:自动打开err-disable接口方法:
不常见的命令
最新发布
m0_65771635的博客
11-09 236
【代码】不常见的命令
CCIE试验备考之交换security(5)
weixin_34162629的博客
04-03 196
第五部分 IP源保护(IP Source Guard)IPSG提供检测机制来确保单个接口所接收到的数据包能够被各个接口所接收。如果检查成功通过,那么就将许可数据包;否则就会发生违背策略的活动。IPSG不仅能够确保第2层网络中终端设备IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或导致网络崩溃及瘫痪。在DHCP监听绑定表或静态IP源绑定的...
动态ARP检测原理及应用
正月十六工作室
06-25 8616
动态ARP检测原理及应用 在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCP snooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1、 DHCP snooping原理 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来
路由与交换思科华为华三配置命令对比.docx
06-17
总结来说,虽然思科华为和H3C在网络设备配置命令上存在一定的差异,但大多数功能都有对应的命令,只是名称和使用环境有所不同。熟悉这些命令对比,有助于网络管理员更高效地跨平台工作,提升网络管理能力。在实际...
路由与交换思科华为华三配置命令对比.pdf
06-17
这篇文档《路由与交换思科华为华三配置命令对比》详细对比了这三家厂商的常用命令,帮助网络管理员更好地理解和操作这些设备。 首先,让我们来看看思科命令思科命令行接口(CLI)以其简洁和直观而闻名。例如...
路由与交换思科华为华三配置命令对比 (2).pdf
06-18
本文主要对比了三大知名网络设备制造商——思科(Cisco)、华为(Huawei)和华三(H3C)的常用配置命令,帮助网络管理员更好地理解和操作这些设备。 1. **主机名配置**: - 思科:`hostname <hostname>` - 华为:...
路由与交换思科华为华三配置命令对比 (2).docx
06-17
在路由器和交换机的配置中,...以上是思科华为和H3C路由与交换命令的基本对比,了解这些命令有助于网络管理员更高效地管理网络设备。在实际操作中,还应结合具体设备的用户手册和官方文档,以获取最准确的配置指导。
交换安全】DAI - Dynamic ARP Inspection 详解
cisco_eigrp的博客
07-29 1073
一、ARP协议原理 1.协议概述 Address Resolution Protocol在以太网环境中,节点之间互相通信,需知晓对方的MAC地址在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。 2.协议漏洞 基于广播,不可靠ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞没有确认
小白进阶之路—ARP协议
qq_41851322的博客
07-23 383
ARP:地址解析协议 即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议,由互联网工程任务组(IETF)在1982年11月发布的RFC 826中描述制定。 1、主要工作流程为:主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的mac地址;收到返回消息后将目标mac地址存入本机mac地址...
15-动态ARP检测:DAI //IOU设备模拟
weixin_33700350的博客
07-06 225
一、实验拓扑:二、实验要求:要想启用动态ARP检测,前提是启用了DHCP Snooping,DHCP检测完以后回产生一个数据库;比如连接电脑的一个端口启用2种检测后,有VLAN ID、0/1接口、MAC地址的映射,此时再该接口收到一股报文,接口的源MAC地址和之前绑定的信息不相同,就会丢弃该报文。这叫非信任接口,它一定要检测源MAC地址,其实不仅仅检测MAC地址,还要检测IP地址。三、命令部署:1...
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
qq_42342531的博客
01-06 8578
Dynamic ARP Inspection简介: Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类: 1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗...
DHCP Snooping,Dynamic ARP Inspection实现
weixin_34029949的博客
01-23 112
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性...
Dynamic ARP Inspection(DAI)工作原理及测试
weixin_33841722的博客
05-25 735
一.工作原理:A.根据DHCP Snooping或手工方式形成的MAC地址与IP地址绑定表,来确定网络中的非法接入的MAC地址B.同时为了防止恶意ARP欺骗,还可以对接口的arp请求包进行限速---测试发现,对于非信任口的arp请求和回复(包括无理arp)都会被丢弃,因此觉得在非信任端口做限速没有多大必要(没有手工修改DHCP绑定表,或用arp access-list做排除的情况)参考链接:htt...
Brocade交换配置DAI(Dynamic ARP Inspection)和DHCP Snooping
然后呢
12-20 2606
这是前几年通过一个项目的测试总结出来的。现在不再做Brocade了,发出来给有需要的朋友们参考。ARP欺骗是局域网内非常常见的攻击手段,而DAI可以有效的防止这种攻击。相关配置:enable acl-per-port-per-vlan #开启基于物理端口的ACL过滤功能 ! ip arp inspection vlan 1 #在指定的VLAN开启DAI功能 ! interface
交换网络安全防范系列三之ARP欺骗***防范
weixin_34293246的博客
08-03 224
3.1 MITM(Man-In-The-Middle) ***原理   按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果***想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,...
89、交换安全欺骗攻击配置实验之Dynamic ARP Inspection
weixin_34174105的博客
11-01 267
1、Dynamic ARP Inspection解析 结合DHCP Snooping,当配置了Dynamic ARP Inspection交换机untrusted接口收到ARP信息后,交换机首先检查dhcp snooping binding,如果发现与绑定条目不一致,就丢弃收到的数据包。 2、实验拓扑 3、基础配置 IOU3配置 no ip rou...
思科华为基础命令对比指南
"该资源是微思网络提供的一份关于思科华为网络设备的基础命令对照表,旨在帮助网络管理员熟悉两种设备之间的相似和不同命令,以便于在跨平台操作时能快速适应。" 在IT网络管理领域,尤其是路由与交换环境中,思科...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值